SSL証明書の選び方 2017年版

シェアする

2017年になってSSLの検索数もだいぶ増えてきたので、内容を実態に合わせて改訂しました。また、失効情報を管理しているCRLとOCSPについて、利用するブラウザが増えているので、レスポンスの良さを考慮にいれるようにしました。

※現在、シマンテックのSSL証明書はChromeブラウザにおいて、最悪全数再発行&9ヶ月の有効期間に短縮する措置が検討されています。確定事項ではないので、本記事では判断要素に入れてませんが、最悪シマンテック系(ジオトラスト、ラピッドSSL、Thawte、Equifax)については再発行させられる可能性があるので、1年以上購入するのは控えたほうが良いかもしれません。

昨今常時SSL/TLS化が流行ってる中で、Web制作シーンでもサーバー証明書を選ぶ機会が増えてきてると思いますが、正直何を買っていいのかわからないというディレクターさんも多いハズ。というわけで、Webディレクター視点でみたSSL証明書の選び方を考えてみました。

読むのが面倒という方へ贈る、一発オススメ証明書

予算ないけど、とりあえずサイトをSSL化したい。ECなど金に絡むやり取りはしてない。
KING SSL
今までFUJI SSLをおすすめしてたんですが、価格的にそこまで変わらないのと、ルート認証局がグローバルサインなのでこっちにしました。実体はGMO系列のアルファSSLになってます。セコムは証明書としては問題ないと思うんですが、いい加減トップページのMixed contentをなんとかしてほしい。前までは画像がhttpソースだったんだけど、最近見たらそれは直ってるものの、フォームからhttpのサイトにデータ送る設定になってるんでChromeとSafariでMixed contentになって、IEやFFではOKという面倒くさいことになってます。惜しい!

Positive SSLやSECURE CORE SSLなんかも同価格帯で安いんだけど、コモドかグローバルサインで比較してグローバルサインにしました。失効情報の格納サーバのレスポンスがいいので。その辺については後述。

ECサイト、もしくはコーポレートサイト。
→文句なくEV。SureServer EV(サイバートラスト)
EVの中では比較的安い5万円弱。わかりにくいんですけど、一般に売ってるSureserver EVってクラウドライセンスじゃないんですよね。Sureserver EV forクラウドってやつだと安くても10万ぐらいします。さくらインターネットで売ってるSureserverはクラウドライセンス付きで5万弱なんでサーバーがいっぱいあるならこっちの方が安いですね。
さくらインターネットのSSL
追記:さくらインターネットのSSLで、3月末まで限定でSureServer EVが38,500円(税抜)のキャンペーンやってます。これは恐らく最安値クラスではないでしょうか。37,000円ぐらいで売ってるところがあったような気がしますが思い出せない。→終わりました。

基本的に、おすすめは安いやつです。ただ無料はさすがにアレなんで、有料のやつ。今回は、さらに認証局視点を加えてみました。安くて老舗という観点で今回はグローバルサインがルートの証明書を選んでみました。サイバートラストについては、Yahoo!Japanやみずほ銀行などでも採用されているルート認証局ですので、信頼性という点では問題ないと思います。

さて、それではこっからはSSLよもやま話に持ってきたいと思います。興味のある方は見ていただければと。

そもそもSSL化するメリットって何なの。

サイトがHTTPSで見れるメリットは簡単に言うと以下になります。
・通信を暗号化できるので、カード番号などの個人情報を流すのに適している。
・ドメインの所有者に発行された証明書であることを、証明できる。
・HTTP/2が使えて読み込みがクソ速くなる。
・検索順位が優遇されるらしい。

個人的には、暗号化は当然として、HTTP/2については激推しです。特に画像枚数の多いサイトは絶対対応した方がいいです。

サーバー証明書FAQ

ちょっと検索するとわかりますが、SSLサーバ証明書の値段はピンきりです。900円のFUJI SSLもあれば、ロリポでDV使おうとすると強引にグローバルサインのクソ高い(DVで年間2万!)証明書買わされるし、さらに20万のEVもあれば0円のDVもあったりで一体何が違うのよ?っていろいろな話。

安い証明書は暗号化レベルが低いの?
→全部一緒です。0円でも20万円でも一緒です。むしろ、暗号はサーバー側で決めるので設定に依存します。

DV、OV、EVって何よ。
DV→ドメインの持ち主をWhois情報やサーバーに置いた認証ファイルで確認して機械的に発行できるので安い。
OV→単一ドメインでの使用ならEVより安いからって選んじゃダメ。アドレスバーに会社名が出ない組織認証。ただ、組織認証でワイルドカードが発行できる点がメリット。
EV→登記の内容見られたりとか実在確認電話とか面倒だけど、ブラウザに緑の社名が出せる。
3種類で暗号化の強度は変わりありません。認証局の手間が変わるので、値段が違います。あと、EVは3年がなく2年まで、ワイルドカードが無いというデメリットがあるので、どうしても組織認証でワイルドカードがほしければOVのワイルドカードを買う必要があります。ただ、2018年3月から全証明書の有効期間が2年になり、さらに2019年3月からは1年へ短縮されるので、EVとOVの違いはワイルドカードの有無だけになりますね。

また、DigicertのEVではマルチドメインが選べるので、ドメインたくさん使うけど社名をアドレスバーに出したい人はこっちも検討しても良いかも。DigiCert SSL/TLS 証明書|DigiCert

国産証明書って何がいいの?
正直国産証明書のメリットってよくわからないんですが、あくまでディレクター視点で言うと、「何と言っても安心のセコムですよ!」って言えるのがデカいです。ただ、国産証明書はCRLやOCSPのレスポンダが国内設置の場合があるため、海外からアクセスがあるサイトの場合は、レスポンダの反応が良いルート認証局を選んだ方がサイトのロード速度観点でメリットがあります。具体的にはAkamaiのCDNを使っているシマンテックですね。恐らくAnycastを使用していると思われるので、世界のどこにいても最短ルートでアクセスできます。ジオトラストもサーバーが一緒なので、ラピッドSSLが最安で高スペックということになります。

今すぐサイトをSSL化しないといけない!
DV一択です。即時発行できるものが多くあるので、好きなものを入れましょう。

とにかく安く済ませたい!無料の証明書ってヤバいの?
Let’s Encryptが有名な無料証明書。サーバーでスクリプトを実行して証明書をゲットする必要があるのと、3ヶ月に1回更新するのをcron登録した方がいいので、サーバーサイドの作業が苦手な人には向いてません。あと、やっぱりタダより高いものはないので対価の発生しないサービスを商用コンテンツで使うのはいかがなものかと思いますね。なお、さんざんDisってますがこのサイトはLet’s EncryptでSSL化されてます(笑)。

EV証明書って面倒くさいの?
面倒くさいです。特に受託でサイト制作やっていると、さっさとこっちで済ませてしまいたいのが本心なんですが、EV証明書の場合はクライアント作業が発生する上に、さらに帝国データバンクに記載されてる代表番号へ電話が行き、申請者の上司に申請者がほんとに在籍してるかとか失礼な質問をされたりします。

それを経てインストールする証明書は格別の味、そしてアドレスバーに会社名が表示されたときはひとしおではないでしょうか。あの喜びが年5万で味わえるなら、価値はあると思います。ってふざけてますが、やっぱりEVは大事ですよ。RapidとかKINGSSLとかのやっすい証明書が入ってるECサイトって、やっぱりWebへの理解がないんだなーって思っちゃいます。今でこそ銀行など金融機関では常識ですが、利用者の多い楽天やYahooなどはさっさとEV証明書入れて常時SSL化しないとダメですよ(糞めんどくさいと思いますけどねWC無いし)。

SSL化するとSEOに有利って言われたけどほんと?
現状、まったく同じサイトを作ったらSSL版の方が有利ってぐらいの違いかと思います(そもそもそれやると重複コンテンツになるけど)。だから、SSL化して順位を上げようとするぐらいなら記事の一つでも書けよってことです。爆発的に有利になるわけではないけど、いろいろやりつくしてしまったというなら手を出してもいいかなという話。逆に、SEO業者がクソ高い証明書を売りつけてくるって話もあるので、気を付けてください。DV1,000円、EV5万円で買えますよ!

ワイルドカード証明書って何!?
with wcとか略されるワイルドカード証明書、簡単に言えばサブドメインがつけ放題になります。ええ!?サブドメインダメなの!?って思う方もいらっしゃるかもですが、普通の証明書はblog.seamonkey-delivery.comで1枚です。blogver2.seamonkey-delivery.comもSSL化しようとしたらもう1枚買わないとダメです。wc証明書なら1枚でOKです。ただし、高いです。DVのワイルドカード証明書で最安は恐らくKING SSL(ルート認証局はGlobal Sign)だと思いますが1年9000円とDVの10倍です。よって、10個サブドメインつけないと意味がないです。他のところで買うと普通に3万とかします。また、wcでも階層が変わると対応しません。hoge.hoge.example.jpという2階層サブドメインになると、hoge.example.jpのワイルドカード証明書は対応しません。

CRLやOCSPって何?
証明書の失効を管理するための仕組みです。有効期限が切れた証明書が入ってるサイトはブラウザ側で判断してエラーを出すことは出来ますが、有効期間内だけど失効した証明書というのは、誰かが失効情報を提供してあげないとブラウザ側で判断できません。その仕組がCRLやOCSPです。これらは認証局側でサーバーやらインフラを提供しないといけないので、そこにいくらお金をかけているかで証明書選びに大きな違いが出てきます。

すべてのブラウザがこの失効情報を利用しているわけではなく、特にChromeブラウザは失効情報の表示がいい加減です。失効しててもサイトが見えちゃいます。FirefoxやIEはCRLやOCSPをサイトロード前にチェックしており、失効した証明書が入っているサイトは表示されません。つまり、サイトを表示する前に失効情報のサーバーへアクセスしてからサイトコンテンツの通信を開始するわけです。

シマンテックはAkamaiのCDNを利用している模様で、非常にレスポンスがよいです。一方、コモドやGoDaddyなどはサーバーが海外にあるためレスポンスが悪く、特に国内サイトの場合で証明書の安さよりも反応を重視する場合はこの点を重視したほうが良いでしょう。

ここまで読んだんだからおすすめ教えて

2017年版に改訂するにあたり、ルート認証局基準での判断を入れてみました。どこの認証局でもいいかっていうと、そうでもないのは事実です。認証局がやらかしてサイトが全断するということはあり得ない話ではないです。先日はGlobal Signが証明書の有効期限を誤って流してしまい、Global Signの証明書を使ってるサイトが一部ブラウザで見えなくなるという大失態をやらかしました。しかも、中間証明書を差し替えないと4日間キャッシュのせいで全断しっぱなしっていうクソ事態です。他にも、comodoが間違ってGoogleのワイルドカード証明書を発行(!)したり、オランダの認証局がハックされて勝手に証明書を発行したりといったことが起きています。なので、認証局選びは結構大事なんですが、判断基準がよーわからないのが事実です。やらかすときはやらかすし。

ただ昨今、FirefoxやIEなどのブラウザが失効情報を厳格にチェックするようになっているので、前にも書きましたが否応なしに認証局が用意する失効情報管理サーバーの性能(レスポンス)がサイトの表示速度に影響してきています。これらのサーバーのレスポンスをチェックしているので、数字が集まったらこれも掲載したいと思います。

さて、ここまで読んで頂けたのでおすすめとして1つ、海外サイトからの購入という選択肢を挙げておきます。GOGET SSLですと、コモドルートの証明書が$4で買えるので、国内よりぶっちぎりの安さです。ワイルドカードも$40ぐらい、EVも$100切ってるんですが、審査とかどうなるんだろ、英語なのかな?

海外だから怪しい…って気持ちもわかりますが、中小の認証局に支払情報まで渡しちゃう国内の激安証明書よりは、Paypalで払える海外サイトの方が逆に安全じゃないかという気もします。

最後にしめです。確かに、サーバー証明書は高いのは信頼感あるし、安いのはケッ安物がっって思いますよ。ただ、大多数の一般人はそんなもん見ないです。だから安いの買ったらいいんですって個人的には思ってます。無料の証明書は事業の継続性に疑問があるので、お勧めしないって話と、今回からは認証局視点を強くしてみたのでオススメはKING SSL。コモドでもいいんだけどOCSPレスポンダがイギリスにあるらしく、レイテンシが100msもあるのでグローバルサインにしました。

今年も、お金に余裕があるならEV、どうしても組織認証でワイルドカードが欲しいならOV、暗号化されりゃいいって人はDVという個人的な姿勢は変わりませんが、SSLへの興味関心は1月の「保護されていない通信」の実装でかなり高まってきているように感じます。クライアントからの問い合わせや質問なども着実に増えてきました。

スポンサードリンク
 
シェアする