独自SSL化する時に迷ったSSLブランドとSSLプラン

本サイトをSSL化する際に意味がわからず迷った項目「独自SSL化する時に迷ったSSLブランドとSSLプラン」について説明します。

鍵の絵

 

はじめにSSL、SSLサーバ証明書について簡単に説明します。

SSLとは

Secure Socket Layerの略でインターネット上での送受信で、安全な通信を実現する仕組みです。

ネット上で流れる情報を暗号化し、第三者による「盗聴」や「改ざん」を防ぐことができます。

会員制サイトやネットショッピングなどの金銭授受が発生するようなサイトでは、SSL化(https)されている必要があります。

(されていない場合は、そのサイトは危険です。)

 

サーバ証明書とは

ネット世界におけるWebサイトの身分証のことで、SSLは「サーバ証明書」を利用して実現しています。

以下は本サイトのサーバ証明書です。

SSLサーバ証明書

 

サーバ証明書には、発行元の情報、暗号化で利用する鍵情報、暗号化方式、有効期限などから構成されています。

運転免許証の住所・氏名・有効期限など、身分証明に必要な各項目みたいなものです。

SSL通信はサーバ証明書を利用して実現しています。

 

 

独自SSL時に決めるSSLブランドとSSLプラン

独自SSL手続きを進めるにあたって下記に表示されているSSLブランドとSSLプランの意味がよくわからなかったので調べてみました。

SSL申し込み画面

 

SSLブランドとは

SSLブランドとは、証明書の発行元と認証仕様のことです。

イメージ的には、車のメーカー名&車種(例. トヨタのレクサスや装備など)になるのかな。

 

下記は本サイトの証明書です。www.keimatsumoto.comをSecureCoreが発行・署名してくれています。

(さらにより上位の認証局となるUSERTrust、AddTrust(ルート証明書)などがそれぞれ下位の認証局を署名してくれています)

SSLサーバ証明書

 

サーバー証明書は通常、第三者機関が「この証明書は信頼できますよ」という署名をサーバ証明書にしてくれます。

この第三者機関を認証局と言います。

有名な認証局はあらかじめWebブラウザが記憶しているので、これらの認証局の署名を受けたサーバ証明書の場合は、問題なくサイトを閲覧できます。

 

 

自分で署名することも可能ですが(オレオレ証明書)、発行者が悪意ある人間である場合は情報が盗まれる危険があります。

なので、オレオレ証明書などのWebブラウザが知らない認証局が発行したサーバ証明書の場合は、ブラウザが赤色になったり安全でないなどの警告メッセージが表示されます。

 

信頼できないサイト

 

 

さて、認証局や認証の仕様にもピンキリがあります。

有名どころの認証局にシマンテック(旧ベリサイン)というところがあります。

大手企業サイトなどはシマンテンックの認証を受けていることが多いようです。

その代わり費用が高額ですし、そもそも個人ユーザーレベルでは審査に通らないようです。

 

認証方式にも①ドメイン認証(クイック認証)、②企業認証、③EV認証などいくつか種類があり、

①→③の順に手続きの審査が厳しくなります。

①のドメイン認証はそのドメインの管理者であることを証明して認証する方式です。

本サイトで言うと、keimatsumoto.comの管理者であることをメールなどで証明して完了です(本サイトは①にあたります)。

私は②や③をやったことがないのですが、書類審査、身分確認などの本人確認が必要になります。もちろん、①は安くて、②や③は高額です。

 

大手は②や③を利用していますが、個人レベルのサイトの場合は安いところで十分だと思います。

 

さて、私の場合はエックスサーバーで以下のSSLブランドとSSLプランを選択しました。

SSL申し込み画面

 

参考までにエックスサーバーで利用できるSSLブランドのリンクを貼っておきます。

CoreSSL

https://www.securecore.co.jp/ssl/sslcert/

コストパフォーマンスに優れた格安証明書!

低コストで導入することが可能なコストパフォーマンスの高いSSLサーバ証明書です。
コスト重視で導入を検討している方に大変オススメな証明書です。

 

セキュアコアドメインSSL

https://www.securecore.co.jp/ssl/sslcert/domaincert.php

サイトの信用度アップ!サイトシール対応の証明書!

サイトの安全性をアピールできるサイトシール対応の証明書で、サイト上に掲載することにより
セキュアコア社に認証されている安全なサイトである証明となり、信用度の向上に繋がります。

 

RapidSSL.comラピッドSSL

https://www.ssl-store.jp/rapidssl/

RapidSSLは、米国GeoTrust(ジオトラスト)社RapidSSL事業部が提供するSSL証明書です。低価格でSSL暗号化通信を実現することが出来ます。

 

ジオトラストクイックSSLプレミアム

https://www.geotrust.co.jp/products/ssl_certificates/quick_ssl_premium/

ジオトラストのクイックSSL プレミアムは、低価格でSSL/TLS暗号化通信を実現するSSLサーバ証明書です。最短2分のスピード発行、高いモバイル対応率で、多くのウェブサイトにて利用されています。グローバルサインクイック認証SSL

 

グローバルサイン クイック認証SSL

https://jp.globalsign.com/service/ssl/quickssl.html

 

SSLブランドは他にもたくさんありますが、レンタルサーバーを利用している場合は、たいていはレンタルサーバー会社指定のブランドから選択する形になると思います。

 

最後に、SSLプランについても説明します。

SSLプラン

SSLプランには、IPアドレスベースSSLとSNI SSL(ネームベース)があります。

IPアドレスベースSSL

もともと存在していた方式はIPアドレスに紐付く「IPアドレスベースSSL」という方式でした。

しかし、同じIPアドレスにつき1つのドメインしか運用できず、複数で同じIPアドレスを利用している共用レンタルサーバーでは、独自SSL証明書を導入する際に専用IPアドレスが必要で、取得費用も高くなっていました。

そこで名前ベースのSNI SSLという方式が新たに出てきました。

SNI SSL

SNI(Server Name Indication)の略です。

従来のSSLの拡張方式で、ドメイン名ごとに証明書を発行できるため、1台のサーバ(IPアドレス)で複数ドメインのSSL証明書を運用できるようになっています。

このため、IPアドレスベースSSLよりも低価格で導入できることが大きなメリットです。

反面、一部の古いブラウザに対応していない(例.Internet Explorer6以前、WinXPなど)ことがデメリットとしてあげられますが、

最近ではここまで古い環境はいまだとまれだと思うので、それほど気にしなくて良いと思います。

 

下記のサイトがとても詳しいです。私も勉強になりました。

5分でわかる正しいWebサイト常時SSL化の為の基礎知識

 

他にも参考になりそうなサイトです。

SSLサーバ証明書ってなんですか? GlobalSign

共有SSLと独自SSLの違い!%20sslサーバ証明書とは

SNIで1台のサーバ上に複数のSSLサイトを運用

サイトシールとは