TearsSwitch

認証レベルと保護範囲に注目!サイトに合うSSL証明書の選び方

ディレクターBlog
タグ SSL証明書認証レベル
米田 真介 米田 真介
2018.01.15
企業サイトには、閲覧者の情報を守り信頼を獲得するために、サーバとの情報通信を暗号化するSSL証明書が必須となるケースがあります。しかし、証明書の違いや選び方にはあまり気を配っていないWEB担当者もいるようです。

 

一方で、厳選したつもりの証明書であっても、予期せぬ事態に見舞われると再度選び直しとなります。たとえばGoogleが同社のブラウザ「Google Chrome」でSymantec社の発行したSSL証明書への信頼を段階的に削除するという決定を下したことに伴い、2018年には変更を余儀なくされている企業も多々あることでしょう。

 

そこで今回は、Amazon、NBC、GM、HPなどの大企業を手掛けたことで知られるSEO業界のトップインフルエンサー、ニール・パテル氏のブログより、認証レベルと保護範囲の違いに注目した、SSL証明書の選び方をご紹介します。

 

3つのSSL認証レベルの違いと選び方

Protection concept. Protect mechanism, system privacy.

 

まず、SSL証明書は、認証レベルによって大きく3つに分けられます。主な違いは、証明書の発行局が自動または手動で事実確認を取る項目の量と、それに伴う金額および所要日数などです。認証レベルが低いものほど簡単に安く取得でき、安全性が低くなります。

 

認証レベル1. ドメイン認証のSSL証明書

認証レベル1は、ドメインの所有権を証明することで得られるSSL証明書(DV: Domain Validation)です。「安価かつ即日(即時)取得できる」という利点はありますが、他の認証レベルの証明書に比べると安全性が劣ります。

 

基本的にドメインの所有権を自動的かつ機械的に確認するだけで発行されるため、事実上、素性を不明とする個人や企業でも取得が可能です。そのため、悪用者がいた場合でもIDを確認する方法はありません。

 

この簡易な証明書でも暗号化通信はできるため、販売を行っていないWEBサイトには妥当です。ただし、支払情報の受信が必要なECサイトをはじめ、高いセキュリティーを求められる個人情報を扱うサイトのSSLとしては、信頼性に欠けると言えるでしょう。

 

認証レベル2. 組織認証のSSL証明書

認証レベル2は、ドメインの所有権に加え、企業や団体などの「組織」が実在しそれを所有していることを証明すると得られるSSL証明書(OV: Organization Validation)です。企業認証とも呼ばれ、証明書の取得にはサイトの運営組織が実在することを証明する手順が必要となり、発行まで数時間から数日を要します。

 

ECサイトは少なくともこのレベルのSSL証明書が必要です。ただし、世界的な常識としては、ECサイトでない場合でも法人サイトは組織認証の証明書を取得するのが一般的です。消費者はWEBサイトを所有する組織の所在地や名称などの詳細を証明書上でも確認することができるため、潜在顧客の信頼性向上に貢献します。

 

認証レベル3. 拡張認証のSSL証明書

拡張認証はEV認証(EV: Extended Validation)とも呼ばれるもので、組織認証よりもさらに信頼性の高いSSL証明書です。ドメインの所有権や組織の実在確認に加え、申請組織が合法的に登録されたビジネスであることを証明した上で証明書が発行されます。

 

そのため、申請にはより多くの提出物が必要で、機械的なプロセスばかりではなく書類審査や電話確認などがあるため、取得には数日から数週間の時間がかかるのも特徴です。

 

ただし、この拡張認証を得るとサイト閲覧時はブラウザのアドレスバーに企業名と国コードが表示されるようになり、認証レベルの高いWEBサイトであることが閲覧者からも一目瞭然となります(表示の仕様は各ブラウザによって異なる)。金融系企業をはじめ、安全性のアピールがコンバージョンに直結する組織には、必須の認証レベルと言えるでしょう。

 

SSL証明書の保護範囲の違いと選び方

WEBサイトに適切な認証レベルを選んだら、次は各SSL証明書でカバーできるドメインの形式が重要となります。企業はサブドメインを利用したり、複数のドメインでたくさんのWEBサイトを運営したりする場合が多いため、無駄と穴のないように選ぶのが賢明です。

 

ここをおろそかにすると、サイト訪問者が閲覧中にセキュリティー警告文が表示される場合があり、成約率にも大きな悪影響を及ぼす危険があります。

 

シングルSSL証明書

シングル証明書は、1つのサブドメインだけを保護するSSL証明書です。つまり、www.〇〇〇.comの証明書を購入した場合、mail.〇○○.comには適用されません。したがって、変則的に発生した追加など、特定のサブドメイン1つだけを新たにカバーする場合には、こちらの証明書が適しています。

 

ワイルドカードSSL証明書

ワイルドカード証明書は、 同一のドメイン下に限り複数のサブドメインを保護することができるSSL証明書です。たとえば、www.△△△.comの証明書を購入した場合、ワイルドカード証明書ならexample.△△△.comも保護できます(ただし、コモンネーム設定は「*.」のため、example.shop.△△△.comといったような「*.*.」は保護できません)。

 

このタイプの証明書はサブドメインにまとめて導入できるため、インストール作業や有効期限管理などが容易です。また、同一のドメイン下にある限り、サブドメインの追加にも対応できます。

 

マルチドメインSSL証明書

マルチドメイン証明書はSANs(Subject Alternative Names)証明書とも呼ばれ、複数のドメインを保護できるSSL証明書です。「Subject Alternative Names(サブジェクトの別名)」という拡張領域にそれぞれのコモンネームを登録することで、異なるドメインで運営している複数のWEBサイトでも、1つのSSL証明書で保護することができます。

 

多くのサイトを運営し大規模なWEB展開を行っている企業にとっては、管理の手間が省けコストパフォーマンスも有利な証明書です。

 

まとめ

Choosing the key to success

 

以上のとおり、SSL証明書の購入時は、まず「適切な認証レベル」と「保護範囲」を組み合わせて自社サイトに適したものを選ぶことになります。

 

その上で、サービス内容の詳細や金額を比較検討する際は、各発行会社の評判を購入時点で必ず再確認することも大切です。「大手発行会社が実は業界標準の監査プロセスに従わずに不正発行していた」というような、スキャンダラスで利用者が実害を被るような事態も、今後また起こらないとは限りません。

 

また、ブラウザ、モバイルデバイス、およびOSが信頼していない発行局のSSL証明書では、たとえ導入してもエンドユーザーにセキュリティー警告が表示される危険性があります。そうした一連の要素を念頭におき、SSL証明書は慎重に選択すべきと言えそうです。

 

参考サイト:
米田 真介
米田 真介

1984年、大阪城下に生まれ落ち大阪で育った次男坊。コンピュータ専門学校を卒業後、広告制作会社に3年間勤務。
その後、FinalFantasy Xというゲームで泣きまくって人生を変えられ、高校時代からの夢であった旅を決行し、半年間ヒッチハイクで47都道府県を駆け巡った後にWeb&デザイン会社(TearsSwitch LLP)を起業。
「WEB事業の拡大とチャンバラの手伝いをさせる為」であると共に"当時お金持ち"だった「赤坂のお金目当て」で共に株式会社TearsSwitchを立ち上げる。
チャンバラ合戦-戦 IKUSA-を展開するNPO法人ゼロワンの理事長でもある。『オンラインゲームの世界を現実化』させる夢のため、プログラム、デザイン、カメラ、地域活性化、コンサル、開発など新しいことを何でも満足するまでやるので気がついたら顔がゴボウになっている毎日。でも、母さん。僕は元気です。

関連記事