【プチセミナー/第二回】はじめて学ぶSSLマネジメント~ベストなSSLの種類・ブランドは?~

ドメインセミナー

前回は、SSLが断片的にしか分からない方も多かったと思うので、全体的なフローが分かるように説明をしました。今回は、よく聞かれるけど答えにくい質問を中心に書いて(回答して)いきたいと思います。先出しですが、次回の最終回ではSSLマネジメントとは?に触れていきたいと思います。

さて、第二回はじまりです!

SSLは最近なぜ注目なの?

IoT社会が現実化していく中、「情報セキュリティ」が経営にとっての重要な対応課題となってきたということは一つ上げることができると思いますが、実際のところはgoogleをはじめとしたブラウザ提供会社のSSLに対してのセキュリティの考え方が進んだためだと考えます。ブラウザ提供会社は日々フィッシング等の不正サイトと対峙しているわけですが、増え続ける不正サイトに対しての取り組みをここ最近強化しています。

大きな変化は、シマンテック社のSSL無効化。これは、2017年にシマンテック社の発行するSSLにセキュリティ上の課題があるとしたgoogleが、シマンテック社のSSL搭載サイトを安全なサイトとして認めないということを発表した事件です。シマンテック社のSSLのシェアは世界的に大きなものだったため、業界だけでなく、ユーザーも騒然としました。

これをきっかけに、不正サイトへの対応は加速的に進み、常時SSL化が導入され、現在chromeではSSLが入っていないサイトに対しては「保護されてない通信」と表示されるようにまでなりました。一説にSSLが入ってなければ今後は表示すらしないというようなことまでいわれています。

   

表示ケース1

   

表示ケース2

   

SSLのブランドって重要なの?

はい。非常に重要です。

現在、有償SSLと無償SSLが世の中に存在しています。それぞれにメリット・デメリットはあります。

カテゴリメリットデメリット
有償SSL
(例:グローバルサイン、デジサート)		・DVSSL以外も発行が可能。(情報の信用性担保機能も重視可)
・ワイルドカード、SANSなどの有効利用が可能
・不正サイト運営者は相対的に少ない。		・有償発行
・情報暗号化のレベルについては、無償SSLと同等
無償SSL
(例:Let’s Encrypt、Comodo)		・無償発行・有効期間が短い。(インストール回数が手間)
・DVSSLのみ発行可能
・不正サイト運営者がよく利用

Let’s Encrypt(レッツエンクリプト)については、通信の秘密の重要性からchromeやfirefox、ciscoなどが寄付して運営されているSSL発行会社です(非営利組織)。資本を関係とせず、誰もがウェブでセキュアに情報を扱えるようにと設立されたわけです。

そんな意志に反して、悪い利用の仕方をする者がいることは世の常であり、事実Let’s Encryptをはじめとした無償SSLを搭載したウェブが不正な行為に加担をしていることが確認されています。(決して発行会社が悪いということではない。悪用者が悪い。)

出典:netcraft

件数(縦軸)の「0」に近い線は有償SSL発行会社の結果です。無償SSL発行会社のLet’s Encrypt、Comodo(コモド)が圧倒的に悪用されているのが分かります。SSLは信頼性が重要な面もあるため、信頼できる有償SSL会社を利用することは、コスト以外に魅力はあると考えます。

また、企業の安定性は非常に重要です。合併が多かったりすると、その度にユーザーはSSLの再発行をさせられ、インストール作業をしなければいけません。この手間は枚数の多い会社であると非常に無駄な作業をさせられていることになります。ある大手企業は、V社⇒S社⇒D社と社名変更がこの10年に2回あります。つまり、その度にユーザーは要らぬ間接コストを払っていたということになります。

   

EVSSLは必要?

未だにその価値はあります。以前のように緑色のバーでURLに表示されるようにはなっていませんが、鍵マークをクリックすることで情報発信者を直ぐに確認することが可能です。ひと手間加わるようにはなりましたが、鍵マークをクリックすると詳細情報がでてくるというイメージは、ユーザーにとってまだ直感的な領域だと思います。

  

DV(ドメイン認証)SSLでもいい?

先ほど「SSLのブランドって重要なの?」のパートでお話しした通り、「SSLの設定がされている=信頼できるサイト」ではないことが分かったと思います。

第一回のSSLの役割で説明した通り、情報の(発信者の)信頼性も重要なウェブサイトについては、DVSSLでは役割を担いきれません。コーポレートサイトなど出所が大切なサイト、個人情報を扱うサイトについては、OVSSL以上の設定をお勧めします。

何かあった場合にも、「情報の出所の表示はしていました。」ということを客観的にも証明することができ運営者の過失も軽減することができます。

     

以上、SSLが注目されている背景や、どのブランド・どういったSSLを利用すべきかのよくある質問に答えてみました。実務を5年もやっていますが、今回のような回答はあまり見たことがありません。是非SSLの選択にあたって参考にしてみてください。分からないことがあれば、是非下記にお問い合わせください。

  

お問い合わせはこちら

  

関連記事:

【プチセミナー/第一回】はじめて学ぶSSLマネジメント~SSLとは?~

  

〈ライタープロフィール〉
寺地 裕樹(てらち ゆうき)

GMOブライツコンサルティング株式会社
営業本部 IPソリューション部

情報セキュリティのリーディングカンパニーである株式会社ラックのシステムエンジニアとして3年間従事。その後、司法試験を経て、GMOブライツコンサルティングに参加。営業としてだけではなく、コンサルタントとしても企業のドメインネームマネジメントについて、日々お客様の悩みに向かい合っている。