お客さんから「Webサイトのhttps対応が必要なのはわかるんだけど、SSL証明書はどれを選んだらいいの?」と聞かれることが多いので、証明書の選び方をまとめてみました。
※暗号化方式がどうとかの技術的な内容ありません。
WebサイトSSL化の目的
大きく分けて2つあると思っています。
- 通信経路の暗号化
- サイト所有者の証明
SSL証明書の種別
DV(Domain Validation)
・ドメイン認証
ドメイン所有者であれば誰でも申請ができて、ほぼ審査無しの全自動で即日発行される。
そのためフィッシング詐欺等に悪用されるケースがある。
つまりサイトがhttps化されているといって安全なサイトである保証は無い。
価格は最も安く、年間1000円程度で取得できる。
無料SSLのLet's Encryptもこれ。
松竹梅の梅。
OV(Organization Validation)
・組織実在認証
申請企業・組織に対して、実際に存在する組織であるかの審査が行われる。
第三者機関のデータベースに登録されている代表電話番号に確認電話が来ることが多い。
書類審査もある。
松竹梅の竹。
EV(Extended Validation)
OVをさらに厳格にし、登記情報の確認や第三者機関のデータベースによる審査が行われる。
最も金額が高く、手間もかかる。
金融機関のオンラインバンキング等で使用されている。
EV証明書を使用しているWebサイトにアクセスすると、ブラウザのアドレスバーに緑で企業名が表示されていたが、chrome/firefox/safariでは表示されなくなった。
https://japan.zdnet.com/article/35141280/
松竹梅の松。
まとめ
第一の目的である通信経路の暗号化についてはどの証明書タイプでも違いは無いので、
第二の目的のサイト所有者の証明で求められる要件によって選ぶことになりますが、
結局はサイトの性格やセキュリティポリシーによって決まるものかと思います。
EV証明書のアドレスバー表示が多くのブラウザから削除されたため、対外的なアピールポイントが
弱くなりましたが、それでも金融機関など最上級の安全性が必要とされるサイトでは必須かと思います。