SSLにはドメイン認証・企業認証・EV認証の3種類がありますが、中小企業が利用するのは主にドメイン認証と企業認証の2つになるかと思います。
今回、もともと企業認証のSSLをドメイン認証である無料SSLに変更した場合、どのようなリスクがあるのかご紹介します。
目次
ドメイン認証SSLと企業認証SSLの違い
ドメイン認証SSLと企業認証SSLの暗号化の方法やレベルに違いはありません。どちらのSSL証明書もブラウザとサーバー間のデータを暗号化し、第三者によるデータの盗聴や改ざんを防ぐことを目的としています。主な違いは、発行プロセスや証明書の種類による信頼レベルです。
ドメインの所有権をもっているかどうかを確認するドメイン認証
ウェブサイトの所有者がそのドメインの所有権を持っていることを確認してSSL証明書を発行するのがドメイン認証(Domain Validation: 略してDV)です。発行されるのが数分〜数時間と比較的早く、無料から安価で利用でき、企業情報の提出が不要といった特徴があります。
証明書が発行されたウェブサイトの信頼性や企業の実在性を保証するものではなく、主に暗号化を目的としてSSL証明書のため、個人のブログや小規模なビジネス・会社が多く利用するのが一般的です。
企業認証は組織が実在しているかどうかも確認する証明書
企業認証(Organization Validation: 略してOV)のSSL証明書は、ドメインの所有権だけでなく、その組織の実在性も確認するSSL証明書です。身元確認がされるため信頼性が向上する一方で、発行まで時間がかるのと、SSL証明書のコストがかかるのが特徴です。
ビジネスを行う上で、特にオンラインでの信頼性が重要な企業にとって選択肢となります。訪問者に信頼性を提供したい企業や、特に金融取引などの機密情報を扱うウェブサイトでは、企業認証やさらにその上を行くEV認証のSSL証明書が推奨されます。
ドメイン認証で無料で使えるのは Let’s Encrypt
ドメイン認証で有名な無料SSL証明書といえば、ご存知 Let’s Encrypt です。
Let’s Encrypt は非営利組織であり、個人や企業からの寄付・スポンサーシップによって支えられています。認証方法はドメイン認証となり、利用料金はかからず更新作業が自動化されているため、非常に扱いやすく数多くのウェブサイトに導入されています。
SSLの指定がなければ、まず第一候補として挙がるでしょう。
企業認証SSLからドメイン認証SSLに切り替えるとどんなリスクが考えられるのか
企業認証SSLを利用していたウェブサイトがドメイン認証である無料SSLに切り替える場合、以下のようないくつかのリスクが考えられます。
信頼性の低下
これが一番の理由といえるでしょう。企業認証SSLは組織の身元を検証されるのを条件に発行され、無料SSLの場合ドメイン認証となるため身元確認は行われません。SSLの信頼性が重要と思われる場合、訪問者に与える信頼感が低下する可能性があります。
特に金融機関やオンラインショッピングサイトなど、セキュリティが重要視されるウェブサイトにおいて信頼度が低下する懸念があります。企業認証SSLを使用しているサイトは、顧客により高い安全性を示している印象を与えられます。
保証の有無
企業認証SSLの中には、認証局側の過失の場合に保証金を支払う場合があります。
GMOグローバルサインの認証業務上の過失により損害が発生した場合、最大3750万円の範囲で賠償責任を負うことをお約束いたします。
SSLサービスの特徴|GMOグローバルサイン【公式】
実際に保証金が支払われたか不明ですが、過去に認証局のシステムがハッキングされた事例はあります。
フィッシング攻撃のリスク
悪意ある第三者が似たようなドメイン名で偽のサイトを作り、フィッシング攻撃を仕掛ける可能性がないとは言い切れません。もし企業認証SSLの場合はSSL証明書に運営組織名が表示されるため、一般的なユーザーは確認までしないでしょうが、一応ユーザー側で判別が可能です。
企業認証SSLからドメイン認証SSLに変更することでコストはどのくらい変わるのか
企業認証SSLによっても大きく変わるのですが、年間契約料として格安で1万弱程度、安めで2-3万円程度、一般的には5-6万程度の価格レンジが多いです。
ドメイン認証SSLだと有料のもので年間として格安が千円〜数千円、高くても2-3万円程度が相場です。マルチドメインに対応しているか、ワイルドカードタイプのSSLなのかにもよって変わってきます。
もし無料SSLであるLet’s Encryptに変更した場合、当然SSL証明書の取得や更新にかかる金額は0円です。
あのグローバル企業でも無料SSLを利用している
有名なグローバル企業がどんなSSL証明書を利用しているか調べていたのですが、音楽配信サービスのSpotifyはLet’s Encryptを利用していました。
我々はドメイン認証の無料SSLで十分、ということでしょうか。調べたグローバル企業のほぼすべてがEV認証または企業認証だったため、少々驚きました。
EV認証の大きなメリットは仕様変更により消滅
ちなみに、EV認証のメリットだったことの一つに、ブラウザのアドレスバーに企業名が表示されたり、緑色で表示されるというのがありましたが、2019年頃の各ブラウザ側の仕様変更により、全く表示されなくなったか、一部で緑色で表示されるというような仕様に変更されてしまいました。
Chrome 77よりEV SSL証明書のアドレスバー組織名表示が消滅!新たな表示先とは? | さくらのSSL
これにより、EV認証の大きなメリットがなくなってしまいました。一般ユーザーはそこまで意識しないですからね……。
無料SSLへの切り替えまとめ
以上、企業認証SSL証明書を使っていた場合にもし無料SSLに切り替えた場合に考えられるリスクなどを記しました。
上記のリスクを踏まえつつも、無料SSLは基本的なセキュリティ保護は維持されますので、多くの中小規模のウェブサイトが無料SSLを利用しており、有効な選択肢です。企業認証・ドメイン認証問わずSSL証明書を適切に設定していたとしても、SSL以外のセキュリティ対策を適切に行っていないと当然セキュリティリスクは上がります。
個人的な考えですが、ウェブサイトに重要な個人情報を扱わない一般的なコーポレートサイトやブランドサイトであれば、ドメイン認証のSSLで十分ですし、無料SSLでも構わないと考えます。暗号化レベルに違いはないですし、ウェブサイトを通して重要情報を扱わないのであればなおさらです。
それにより経費削減になりますし、浮いたコストでサーバーをより高性能にしたりメールサーバーをクラウドに移行する方が費用対効果が高いといえます。
ただ、SSL証明書って一度決めたらなかなか変更しないんですよね……。問題が発生していない以上、やはり面倒だと感じてしまうものなので。
コメントを残す