LoginSignup
1
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@narigom(Keigi Narihara)in株式会社エクストランス

SSL証明書について営業の観点(2020年3月)

Last updated at Posted at 2020-03-18

SSL証明書の不都合な真実
というタイトルをつけていたのですが、書き終わってからそんなかっこいい記事でもないし、
かなり主観も混じった内容となってしまったので変更しました。
なるべくソースは用意していますが、普段SSL証明書を扱うものの感想レベルで認識ください。

#人はなぜ、サイトをHTTPS化するのでしょうか?

先日、Let's Encryptの証明書の強制無効化の影響で
多々対応に追われた方も多いのではないかと思います。

普段、営業の身としてSSL証明書を売る立場の人間として
ここ数年の常時HTTPS化は嬉しい流れである分、
SSL証明書の利用価値に対しては疑問を持っています。

昨今は「通信の暗号化」が大義を締め、
「サーバー証明、データの改ざん防止」における認識は狭まってきているのではと
感じています。

さくらインターネット様の「さくらのSSL」の記事が引用しました。秀逸記事です。
https://ssl.sakura.ad.jp/column/necessity-of-ssl/

#なぜそう感じるのか

この波を感じたのは2017年から2018年に発生したシマンテック(現デジサート・ジャパン)発行の
SSL証明書に対するGoogleChrome70の失効対応です。

Chrome’s Plan to Distrust Symantec Certificates
https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html

Symantec の PKI の無効化について: 要対応確認
https://webmaster-ja.googleblog.com/2018/04/distrust-of-symantec-pki-immediate.html

多くのシェアを持つchromeから締め出されるような事となってしまいシマンテックは、関連事業をデジサート社へ売却し、デジサート・ジャパン合同会社を日本で設立しました。

しかし、それだけでは証明書失効対応には何もならず、「デジサートから発行された証明書」とすることが必要なため、有効期限のあるSSL証明書も再発行手続きを行い、結果ユーザへの影響が出てしまいました。

chrome(というかGoogle)の影響力が強すぎて、chromeばかりがこの問題では浮彫になっていましたが、各ブラウザがシマンテック発行のものを失効させると表明していました。
https://knowledge.digicert.com/ja/jp/generalinformation/INFO4983.html

この流れにより、SSL証明書業界よりブラウザ業界のほうが優位であることが感じられました。

#Let's Encryptの意義
先日、Let's Encryptは10億の証明書の発行という記事がありました。
ますます無料SSL証明書の存在を大きく示したのではないかと思います。

Let's Encrypt Has Issued a Billion Certificates - Let's Encrypt - Free SSL/TLS Certificates
https://letsencrypt.org/2020/02/27/one-billion-certs.html

Let's Encrypt、10億の証明書を発行 - 全体の81%がHTTPSを使用
https://news.mynavi.jp/article/20200229-984157/

無料のSSL証明書はダメなのか?
という点でよく言われるのがフィッシングサイトなどでも利用できてしまう、という点です。

無料証明書と有料証明書の違い
https://ssl.sakura.ad.jp/column/free-or-paid/

グローバルサイン様のサイトもわかりやすいです。
https://jp.globalsign.com/service/ssl/

しかし、昨今SSL証明書の利用者がどこまでここを重視しているのかが疑問です。
Let's Encryptでもドメイン認証・DNS認証は行っており、
多視点ドメイン検証というのも始まったようです。
https://www.atmarkit.co.jp/ait/articles/2002/27/news122.html

結果、ブラウザ業界の優位に立ち、常時HTTPS化を進めることによりユーザの意識・価値観が変わってきたと思います。

#有料SSL証明書の価値と住み分け
企業認証が出来る面というのは有料SSL証明書、とくにEVレベルは非常に価値があります。
営業的にはこの価値と住み分けをユーザにしっかり示し、要求されるセキュリティレベルやサイトの価値に対し提示できることが大切かと思います。
また、SSL会社にはクラウド対応についてもっと加勢して頂きたいと個人的に思っています。

#topic
無料SSL証明書は発行元がいつなくなるかわからない!
というのも記事で見かけますが、元々デジサートのSSL証明書を取り扱っていた会社が
突然あと2週間で取り扱い終了します、と発表し混乱が発生したり、
シマンテックに至っては一部事業がブロードコムに買収されたと思ったらそこからアクセンチュアに買収されたり、、今後もSSL証明書業界には注目していきたいと思います。

1
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?