https 常時SSL化
https// 鍵マークにお気づきですか?
Googleが全HTTPサイトに警告!
2017年8月中旬、Googleから「Chromeのセキュリティ警告を表示します」とアナウンスされていました。
そして、2018年8月からこの警告が実行され、「Chrome 68」から下記のようなメッセージで表示されるようになりました。
上記は当社で使用している仮アップ、テスト時に使うテストサーバーです。
ホームページの安全、常時SSL化を推進している当社の運営サイトは全てhttps、常時SSL化(有料)されています。
https//になっていないと「このサイトへの接続は保護されていません」=ユーザーには危険?と解釈される?。
最近になって今までは気にしてなかった「HTTPS」と鍵マークサイトが増えた事に「あれっ?」と思われた方も少なくないと思います。
これは、Googleが推進しているサーバーの安心安全な常時SSLです。
SSLとは、インターネット上でのデータの通信を暗号化し、盗聴や改ざんを防ぐ仕組み(プロトコル)のことです。SSL化されたウェブサイトは、URLの頭が「HTTPS」となり、通信の暗号化が保証されます。
SSL暗号化と電子証明書を組み合わせた「SSLサーバ証明書」は、通信の暗号化とウェブサイトの運営者・組織が実在することが保証されます。
しかし、この常時SSLにも数種あり、そのセキュリティレベルにも大きな違いがあるのです。
SSLサーバ証明書には無料と有料とが存在するのですが、安全性そのものに大きな違いがあります。
通常SSLとEV-SSLや、独自SSL、共有SSL、見た目は同じでも内容が全く異なるSSLもあるので、その違いをこれからは見極める必要があるのでは?と思います。
SSLサーバ証明書には種類がある
無料と有料との違い
世界、日本の大企業、有名企業は有料SSLを導入している。
より信頼性の高いSSL導入は企業の責任と考えられている。
SSLサーバー証明書には、認証レベルが簡易な順に「ドメイン認証型SSLサーバ証明書」「企業認証型SSLサーバ証明書」「EV SSL証明書」の3種類があります。
「SSLによる通信の暗号化」と、「ウェブサイト運営団体の身元証明」という2つの機能があり、暗号化の機能は、認証局や証明書の種類による違いはほとんどありませんが、身元証明の機能はSSLサーバ証明書の種類によって大きく異なります。
SSLサーバ証明書の種類ごと信頼度の比較
ドメイン認証型SSLサーバ証明書
ドメイン使用権の有無のみを認証するSSLサーバ証明書です。
この証明書は、ドメインの使用権を保有していれば、機械的な発行処理によって比較的低価格・短時間で取得することが可能です。
しかし、ウェブサイト運営者の実在性については審査対象ではないため、フィッシング詐欺対策としては十分とは言えないでしょう。
安価で簡単に取得出来る。
企業認証型SSLサーバ証明書
ドメインの使用権の有無に加えて、ウェブサイト運営者の実在性を認証するSSLサーバ証明書です。
第三者機関(調査会社等)が保有する情報の照会や、電話による確認などを行うことから、認証強度が強く、高い信頼性を実現します。
高額だが高い信頼性。
EV SSLサーバ証明書
ドメインの使用権の有無に加えて、ウェブサイト運営者の実在性を認証するSSLサーバ証明書です。
「CA/ブラウザフォーラム」という主要なブラウザベンダーと認証局で構成される団体が策定した「EVガイドライン」に基づき、実在性の確認を厳格に行うのが特徴です。
これにより、EV SSL証明書」は最高レベルの信頼性を実現します。
銀行のネットバンキングやYAHOOオークションなどの取引ページ、アップル、ツイッターなどはこのEV SSLが適用されています。
SSLサーバとしては最高額だが信頼性はダントツ。
ユーザーの安心安全な接続を約束する!
常時SSLサーバ証明書はユーザーのために…。
無料SSLと有料SSLの違い
常時SSLサーバ証明書はホームページ主のためではなく、サイトに訪問してくださるユーザーのためのセキュリティです。
無料SSL Let’s Encrypt(レッツ・エンクリプト)を導入している企業や個人が増加していますが、最適なSSLを選ぶために「無料SSL」と「有料SSL」との違いを正しく理解することがとっても大切です。
無料と有料では、暗号化の強度といったセキュリティの違いはほとんどないそうです。どちらも同じレベルで大切な情報を守っています。
なりすまし(フィッシング詐欺)の審査に大きな違いが…。
有料のSSLと無料のSSLの決定的な違いは、「なりすまし(フィッシング詐欺)」への審査になるようです。
SSLの証明書には「ドメイン認証」「企業認証」「EV(Extended Validation)」の3種類があり、このうち「企業認証」と「EV」は申請時に第三者データベースでの照会、電話での確認などを通して厳格な審査で企業・組織の実在性を確認したのち、証明書が発行されます。
無料SSLでよく使われているのはこの「ドメイン認証」によるものですが、「無料のドメイン認証」は、そのサイトの所有者が誰であるかまでは検証しない、自動発行される仕組みになっているので、悪意を持ったユーザでも簡単に登録できます。追加審査を行うこともないので、なりすまし(フィッシング詐欺)への対策という意味では不十分です。無料SSLはなりすましで簡単にSSL取得が出来る。
会社の信用を重視している有名企業、銀行のほぼ全部が有料SSLサーバ認証を取得しています。
有料SSL取得サイトはブランドイメージです。
日本の大手企業もSSL化に動いています。
有名なネット関連企業のほとんどは常時SSL化を完了しているようです。
大手、有名企業は有料SSLを導入しています。
ホームページを観てくださるユーザーの安心安全の確保は企業の責任と考えているのでしょう。
銀行関連サイトは以前から「EV(Extended Validation)」SSL証明書が導入されていました。
主な有料常時SSLサーバ証明書発行元
Cybertrust
Yahoo Japan、ジャパンネット銀行、みずほ銀行、株式会社JaMtekなど
Geo Trust
サントリーなど
Digi Cert
Facebook、Panasonic、アップル、Instagramなど
Global Sign
トヨタ、NTTドコモなど
SSLサーバ証明書を確認しましょう。
パソコンでの確認方法
アドレスバーの鍵マークをクリックする
アドレスバーの鍵マークをクリックすると「Webサイトの認証」「安全な接続」「この接続は保護されています」という表示がされますが、使われいるブラウザによってその表示文字は異なります。
下記は当社(株式会社JaMtek)のSSLサーバ証明書ですが、最も信頼性の高いEV SSLを導入しています。
EV SSL証明書の場合はアドレスバーに企業名が表示されます。
信頼性の高いSSL証明書はネット集客をメインとしている企業の責任と考えます。
SSL証明書の詳細を見るには
詳細→サブジェクトと開いてみるとドメインの使用権、企業の実在性や所在地まで証明されていることが確認できます。
当社co.jpドメインはEV SSL証明書なのでInternet Explorerで開くとアドレスバーが緑色になり会社名も表記されます。
スマホでのSSLサーバ証明書の確認方法
ページ上部の鍵マークをタップする。
ページ上部の鍵マークをタップすると、「この接続は保護されています お客様がこのサイトに送信した情報「パスワード、クレジットカード番号な」第三者に見られることはありません。という画面が出てきます。(ブラウザによって少し異なる文面)
更に「詳細」をタップするともっと詳しい情報が確認出来、更に「証明書情報」をタップすると下記のような画面が出てきます。
株式会社JaMtekが運営している3サイトのSSLサーバ証明書ビューアです。
https// 常時SSLサーバ証明書に関するお問い合わせ受付中です!!
