ウェブサイトのSSL対応では、ウェブサイトのSSL対応に関する情報を提供したが、今回は実際にウェブサイトのSSL対応するときに、どの証明書を使えば良いのかを当方なりに述べてみたい。
SSL証明書のタイプには大きく3つある
SSL証明書のタイプとしては、大きく分けて3つある。それは以下の通りである。
- ドメイン認証
- 企業認証
- Extended Validation
まず、「ドメイン認証」は、登録者が実際にドメインを持っているかどうかを判別する認証で、認証局にもよるが、低コストで手っ取り早く登録できるという特徴を持っている一方、証明書としての信頼性は最も低い。
次に「企業認証」は「ドメイン認証」に加え、その企業 ((個人事業主含む)) が実際に存在するのかどうかを判別する認証である。ドメイン認証と比較してコストと手間はかかるが、信頼性は比較的高いと言える。
最後に「Extended Validation」(一般的には「EV認証」と呼ばれる)は、企業認証に加え、その企業の実際の所在地の確認など、統一された厳格なガイドラインを満たしているかどうかを判別する認証がある。最もコストと手間がかかるが、信頼性は最も高いとされており、一般的なブラウザーのアドレスバーが緑色で表示されるという特徴もある。
一般的なサイトではドメイン認証で十分
一般的なサイト、例えば個人でブログやサイトを運営する場合は、コストの問題もあるが、基本的に個人情報を扱うことがないため、ドメイン認証で十分と言える。
基本的には個人では企業認証やEVの申請はできないため、ドメイン認証にとどまる。
企業サイトでも個人情報を扱うようなことがない場合はドメイン認証で十分といえる。
企業サイトで個人情報を扱う場合は企業認証で
企業のサイトで個人情報を扱う場合は、企業の実在を証明できる企業認証を取っておくことが望まれる。企業認証では企業の実在を証明できるという特徴があり、フィッシング詐欺においても不完全ながら防げるという特徴もあるからである。
企業サイトでも個人情報を扱うようなことがない場合は、コストとの兼ね合いも考えてドメイン認証か企業認証を選ぶと良いだろう。信頼性を重視するなら後述のEVも検討に入れよう。
重要な個人情報やお金が絡む場合はEV
上記よりも重要な個人情報を扱う場合、あるいはお金が絡むようなコンテンツを扱う場合はEVが最も適切である。これは厳格なガイドラインを満たすという条件が必要で、コストもかかるものだが、EV証明書でそのサイトが信頼できるものとしてブラウザー上でも分かりやすく表示されることで、フィッシング詐欺などを企業認証以上に防げる利点があるからである。
コストがかかっても信頼性を重視したいなら、間違いなくEVがベストな選択肢と言える。
最後に
今回はどちらかというと、実際のSSL対応というよりは、その目的に応じてどのSSLを選ぶべきかの道しるべとして記事を書いてみた。
当然ながら、絶対的な正しい選択肢はないものの、参考になれば幸いである。
ウェブマスター。本ブログでITを中心にいろいろな情報や意見などを提供しています。主にスマートフォン向けアプリやウェブアプリの開発を携わっています。ご用の方はコメントかコンタクトフォームにて。
