サイト制作やらwebシステム開発を受注していると、当然デプロイ(サーバに配置すること)までやるわけで、SSL証明書の導入と設定も合わせて頼まれることがほとんどです。
で、証明書の購入手続きも一緒に任されるのが普通なので、そうなると以下のようなやり取りがだいたい毎回発生します。
私「どの証明書にします? 無料の証明書もありますけども」
客「何が違うん?」
私「まぁ違いはないといえばないですし、あるといえばあるんですが、ざっくり説明すると~(以下略)」
の、以下略のトークが当然ながらだいたい毎回一緒なので、ちょっとここに書いておきます。次からこのページのURL送れば済むし。
以下、説明。
証明書の認証局やブランドによって何が違うのか
証明書有償/無償や、ブランドで何が違うかと言いますと
- 対応ブラウザ比率
- 認証レベル
- 保険
の3点です。使用されている暗号化技術に差はないので、通信安全性には差はありません。認証局自体がクラッキングされると別ですが。
対応ブラウザ比率について
かつては対応ブラウザ比率は結構影響が大きく、インターネット対応ガラケーの中期(2000年代なかば)以前の携帯ですと、ベリサイン社のクッソ高い証明書(年数十万円)でないと対応していないとかがありました。
ですが今、大規模に提供されている証明書であれば特定の機器、ブラウザで見られないということはまずないです。
昨今の環境で言えば、どこかの証明書がこの対応比率の点で特段優れているということは無いですね。
認証レベルについて
DV/OV/EVという3段階があり、それぞれドメイン認証、組織認証、組織認証(+アルファ)です。
それぞれ
- DV⇒認証局はそのドメインの保有者であることを確認し、保証する
- OV⇒DVに加え、申請してきた法人が存在すること確認し、保証する(登記事項証明書や帝国データバンク、DSUN番号などで確認)
- EV⇒OVに加え、更になんらかの確認を行った(認証局に拠りますが電話番号の疎通確認、住所の実在確認など)
正直、一般の閲覧者が証明書の認証レベルを確認してサイトの信頼性を測っているとは思えないので、認証レベルはEVでなければDVでもOVでも変わらないと私は思います。
EVですとアドレスバーがグリーンになったりするので、ちゃんとしたサイト感が出ますね。金融機関とか。でもこのグリーンバーの表示もChromeは近いうちにやめるそうです。
保険について
認証局や証明書そのものが原因でクラッキング被害にあった際に、被害額が保証される保険が付いていたり付いていなかったりします。
保証の上限額もいろいろですね。
保険がついてるものですと、10万上限とか50万上限とか、数万ドル上限とかそれ以上とか、色々見たことあります。
保証の適用範囲が限定的すぎる物が多いので、私はどうでもいいと思っています。
必要に応じて各保険会社が用意する事業保険に加入するべきかと思います。
結論
AWSならACM、そうでないならLet’s Encryptか、Comodo Positive SSLとかでいいんでない?
コメント