Categories: トリクリ活用術

ここまで説明できれば提案力UP!SSL証明書の種類とその役割

皆様はじめまして。株式会社フィードテイラーの大石と申します。
WebやiOSアプリを専門にするIT企業で、その代表をしています。最近は、DNS切り替えだけでWordPressサイトが高速化・セキュリティUPするサービス「espar」(https://www.espar.biz/) の開発・運営に注力しています。

この度、ご縁があってトリクリブログに連載を持たせて頂くことになりました。これから数回に渡って、webのセキュリティや高速化をテーマに投稿させて頂く予定です。

対応が迫られる常時SSL

常時SSL化が言われるようになって早2年。2017年10月にリリースされた Chrome62 では、いわゆる問合せフォーム以外の検索フォームでもhttpのページでは警告が表示されるようになりました。常時SSL化は時代の潮流であり、もはや後戻りはできません。

いずれ「常時SSL化をやりましょう」と御客様に提案するタイミングが訪れます。そのとき、証明書について「何となく」ではなく、正しい理解に基づく提案ができれば、御客様からの信頼獲得に繋がるに違いありません。
その参考として頂くべく、本エントリではどの証明書を選ぶべきかを論じてみたいと思います。

価格で何となく決めがちな証明書

常時SSL化に必要となる証明書には、DV証明書・OV証明書・EV証明書の3種類があることを皆さんもご存知かと思います。以下のような表がよく出てきますね。

さて、DV/OV/EVのうちどれが良いのかを価格以外に論拠を持って提案できる方はどれぐらいおられるでしょうか。弊社はWebセキュリティや高速化のプロとして制作会社様をご支援させて頂くこともあるのですが、実は制作会社様に限らず技術者でもDV/OV/EVのどれを御客様に勧めるべきか説明できる人は余り多くなく、

「EVは高いよなぁ。法人サイトの証明書なら、DVよりOVのほうが安心そうだなぁ」

と何となくで選んでいる方が大半です。実は、DV/OV/EVのどれにすべきかは、サイトを閲覧する方の立場に立てばおのずと決まってきます。

サイト閲覧者視点に立てば、証明書は3種類ではなく実質2種類しかない

上述の通り証明書は3種類ありますが、サイトを実際に目にする閲覧者視点で見るとどんな違いがあるのでしょうか。順に見ていきましょう。

最も分かり易い違いはブラウザのバー表示の違いです。以下に例を示します。エバラ食品様のサイト(DV証明書)、JR西日本様のサイト(OV証明書)、当社のサイト(EV証明書)をIE11で表示してみました。

サイト閲覧者からすれば証明書は2種類にしか見えませんね。アドレスバーがグリーンになるかそうでないか。グリーンではないDVとOVは全く見え方が同じですが、違いは何でしょうか。


ここで証明書の情報を見てみましょう。ブラウザバー右端の鍵マークから表示されるポップアップ上で「証明書の表示」をクリックすると確認できます。

このように表示されますが、どちらがDVかOVか分かりますか?(左がDV、右がOV)

証明書の扱いに慣れている方ならこの情報だけで推測できるのですが、一般のサイト閲覧者には区別がつきません。どこに違いがあるのか。答えは証明書の詳細情報にあります。詳細タブに含まれる「サブジェクト」という項目を見てみましょう。

ドメイン名(厳密にはコモンネーム(CN)と言います)のみ書いている左側がDV証明書で、企業の所在地情報や組織名まで入っている右側がOV証明書、となります。

如何でしょう?

閲覧者としてWebサイトを見るとき、証明書がOVかDVかを気にしたことがあるでしょうか?恐らくNOでしょう。

見た目の違いが無く、何度もクリックして辿り着く画面にしか差がないのなら、DVとOVは一般閲覧者からすれば同じものと見なされる可能性が高いです。常時SSL化でOV証明書を取得する意義が薄れてしまいますね。

さらに、証明書の価格帯を詳細に調べると興味深いことが分かります。

証明書は原則DV。必要に応じEV。OVはメリットなし

下図は弊社で独自に調査した証明書の種類と価格の分布です。

注目して頂きたいのは、一部のOV証明書やDV証明書より安価なEV証明書が存在するということです。(赤色の丸印)

EV証明書では、アドレスバーがグリーンとなり見た目で安心感を提供できる上に、OV証明書と同様に証明書の詳細情報に組織名や所在地が表示されます。

そんなEV証明書をOV証明書より安く入手できるのなら、御客様にベストな提案は

  • 安さ重視なら、DV証明書を取得 (可能なら無償のLet’s Encrypt)
  • 信頼重視なら、EV証明書を安価に取得

ということになります。最も合理的で、かつ御客様に余計な金銭的負担を強いない提案です。

証明書を何となくで選ばない

証明書は正直に言って認証局側の「良い値」です。

ブランドは信頼性を担保するものですが、証明書に限ってはそうとも言えません。あの著名なシマンテックでさえ不正発行をGoogleに糾弾されましたし、シェアNo.1を標榜するComodo社も不正な証明書を発行してしまった過去があという事実もあるのです。

証明書を何のために取得するのか、取得するものによって何がどう違うのか、その違いには意味はあるのかをよく吟味して証明書を選択したいものです。

証明書には毎年費用が発生します。常時SSL化を急ぐ余り「何となく」で決めるのではなく、証明書の実態・役割・価格を総合的に考えて御客様に提案することが信頼の獲得に繋がると思います。