無料発行も可能、3種類のSSLサーバ証明書の使い分けは?:セキュリティ強化塾(3/4 ページ)
SSLサーバ証明書の価値が変化している。もはや「クレジットカードの入力フォームを備えたWebページで使うもの」だけではない。
より身近になったSSLサーバ証明書
SSLサーバ証明書といえばコスト高というイメージがある。だが、これも認識を改めるべき時代になった。DVは信頼性という面では他の証明書に比べると低くなるが、今では「コストゼロ」で発行できる。イントラネットの通信を全て暗号化することなど簡単に実現できるのだ。
その流れを作ったのが、オープンソース的な考え方でDVを自動発行する「Let’s Encrypt」だ。このサービスでは、証明書の発行をオートメーション化することで、無料でSSL証明書発行を実現した。今では多くのエンジニアからも注目されており、これまで利用しにくかった開発環境のHTTPS化を推し進めることが可能となった。
コラム:ホスティングサービス選びの決め手が「SSLサーバ証明書」になる?
Let’s Encryptだけでなく、大手認証局であるシマンテック・ウェブサイトセキュリティも無料でSSLサーバ証明書発行が行える「Encryption Everywhere」を発表した。既にホスティングプロバイダーのファーストサーバが対応しており、ホスティングサービスとともに利用可能になっている。
今後はWebサービスのホスティングプロバイダー選びにおいて「SSLサーバ証明書が無料で利用できるか?」という点も選択肢になり得ることに注目しておきたい。
HTTPSが必要な理由が増える
HTTPSが重要視される理由は、昨今のライフスタイルにも関係している。主な要因の1つは、街中で無料提供される「公衆無線LAN(Free Wi-Fi)」だ。
日本における公衆無線LANの多くは事業者との契約が前提となっており、WPA2などの暗号化が施された状態で提供されることが多い。「暗号化されている」ということで安全、安心のように見えるが、実際には同じネットワークに接続しているクライアントからは暗号鍵が自明であり、暗号化された通信をのぞき見することは容易だ。公衆無線LANでは基本的に「HTTPページは盗聴が可能」という前提で考えなければならない。
公衆無線LANからも閲覧されることを考えると、企業のWebサイトは「常に」「どのページであっても」「HTTPSで」接続できることが望ましい。これが今、フォームやログインページなど特定のページだけでなく、サイト全体をHTTPSで提供するという「常時SSL」が注目されている理由の1つでもある。
海外の大手サイトが続々と常時SSL対応を表明しているが、この流れは国内企業にも波及している。大手ポータルサイトを運営するヤフージャパンは、「Yahoo! JAPAN」のトップページだけでなく、「Yahoo!ニュース」を含む全てのサービスにおいて常時SSLを2016年4月から2017年3月にかけて導入すると発表した。今後は多くのサイトが、盗聴、改ざん防止のために、この常時SSLに対応するだろう。
Copyright © ITmedia, Inc. All Rights Reserved.