ホームページはのSSL化において無料のSSLと有料のSSLがありますが、その違いについてお客様から最近よくご質問頂きますのでご紹介します。
そもそもSSLとは
ホームページの暗号化、改ざん防止、なりすまし防止が主な役割です。
具体的にイメージが分かるご説明としてはアドレス(ホームページURL)がHTTPSと「S」が付いていたりアドレス横が鍵のマークになっているものをSSL化されたホームページと呼びます。
(ブラウザによって異なる場合がございます。)
ホームページはデジタルデータですのでフォームの入力内容などを外部から盗み見ることができてしまいます。
ホームページがSSL化されていることにより暗号化通信が実現され、容易に外部から盗み見ることが難しくなります。
しかし、それだけでは安全ではありません。
悪意ある第三者がいればサイト自体の内容をコピーし偽サイト(フィッシングサイト)をつくることもできてしまいます。
厳密には同じアドレス(ホームページURL)のサイトを作ることはできませんが、似たようなドメインを取得することで分かりにくくしています。
例、「webdesign.co.jp」 と 「webdesignco.jp」
co.jpと.jpなので別のドメイン種別のサイトですが見た目上はドットが無いだけなので紛らわしくなっています。
その偽サイトを本物だと信じてクレジットカード情報やフォームの入力を行ってしまうと悪意ある第三者に情報が渡ってしまいます。
そんな時に重要になるのがSSLの認証制度です。
第三者機関である認証局というものがウェブサイトの本物性を証明して証明書を発行してくれることで改ざん防止やなりすまし防止にもつながっています。
アドレス(ホームページURL)の横の鍵マークなどを押すと承認された情報を見ることができます。
無料SSLと有料SSLは認証の厳格さの違い
冒頭で説明した通り、SSLには無料(設定などの実務作業は除く)のものと有料のものがあります。
有料のものでも安いものから高いものまでピンキリです。
その違いはなんでしょうか。
高いものほど強固な暗号で守られていると思われがちですが実は暗号化の強度にはそれほど違いは無く、無料だから暗号化が突破されやすいということもありません。
第三者機関による認証の厳格さが値段の違いになってきます。
簡単にいうと簡易的な認証審査は手間もかからないので安くできる。厳格な審査は登記簿を確認したり現地に赴き実在確認したりと審査する側も手間がかかるので高くなるというわけです。
無料SSLで有名な「Let’s Encrypt」
2016年4月からアメリカのISRGという組織が運営しており、この世の全てのウェブサイトを暗号化しインターネットを安全に使える環境をつくることを目指し、SSLの普及に賛同した企業がそのスポンサーになることで無料を実現できています。
メリット
・無料で利用でき、暗号化通信される
(EVなどと比べて暗号化強度は同じなので無料だから暗号化に対して危険があるということはありません)
デメリット
・企業認証ではなく無料簡易に導入できるのでスパムサイト等でも導入できてしまい信頼性に劣る。
・レンタルサーバーによってはLet’s Encryptに対応していないので導入できない
・サイトスキャン機能など有料SSLにあるような付加サービスがない
・証明書の有効期限が90日なのでデフォルトでは都度更新が必要
・有料SSLに比べサポートに劣る面がある
・寄付で成り立っている面もあるので今後どうなるか分からない
無料SSLと有料SSLどちらを使うのが良い?
ホームページの目的に分けて使い分けるのが良いかと思います。基本的な考えとしては影響が大きいか少ないかで判断します。
特にホームページ内に入力フォームやショッピングカート等が無く、情報発信や会社案内的な使い方のもので誰でも知っているような知名度がない場合は無料でも良いかもしれません。情報を取られるリスクやなりすまされるリスクが低いからです。
逆になりすまされると影響力が大きい企業や入力フォームやショッピングカートがあるホームページは有料のSSLで厳格な審査をしてもらう方が良いでしょう。
金融機関のサイト等は最上位の認証であるEVSSLと呼ばれるものの場合が多いです。
但し、見え方はブラウザに依存するところが大きく、以前はEVSSLは鍵マークが緑色に変わって目立つなどインパクトがありましたが現状はそういったこともないのでユーザー側がどこまで認証レベルの違いを意識しているかは疑問なところもあります。
とはいえSSL化をすることはユーザー側の一つの安心材料になりますし、SEO対策の評価指標でもあるのでSSL未対応な場合はまずは始めましょう。
コメント