常時SSLがウェブサイトの基本に
All Aboutは常時SSL対応になっている
暗号化して通信するためのSSLという仕組みですが、最近、買物カゴがなくても最初から「https」になっているウェブサイトが増えています。
これを常時SSLと呼んでいます。例えばAll Aboutは常時SSLになっています。ブラウザのURL欄を見てください。「https:」になっていてカギマークがついているのがお分かりでしょうか。
SSLの仕組みについては「ネットで安心して買物できるワケ」をご覧ください。
グーグルが「SSL対応していないウェブサイトの順位を下げる」という発表をしたため、常時SSLがホットな話題になっています。
常時SSLのメリット
常時SSLのメリットは暗号化通信できることです。これによって、なりすまし防止がしやすくなります。大手企業や有名ブランドのウェブサイトをかたる詐欺サイトやフィッシングサイトは多数あり、ユーザーが不正サイトに誘導されて詐欺被害にあう事件が跡を絶ちません。
常時SSLではサーバ証明書が必要となり、ウェブサイトの運営者・組織が実在することが保証されるため、こうした詐欺サイトを作りにくくなります。
常時SSLの導入費用は認証レベルによって変わる
SSLでは証明書を確認できる
常時SSLは第三者が認証し証明書を発行してもらいますので、これとは別料金がかかります。料金は、どこまで認証するかのレベルによって変わってきます。
認証レベルは3種類あります。
- ドメイン認証(DV)-ドメインだけを認証
- 企業実在認証(OV)-企業や組織を認証
- EV認証-担当者個人まで保証
- ドメイン認証(Domain Validation)
ユーザは自分がアクセスしているウェブサイトのURLが正しいことが分かります。ドメイン認証は料金が安く、個人、企業などに関係なく誰でも取得することができ、手続きもインターネット上だけで完結し、すぐに発行されます。料金は年間数千円ほどです。
- 企業実在認証(Organization Validation)
- EV認証(Extended Validation)
Googleがシマンテック系のサーバ証明書の無効化を発表
グーグルがシマンテック系のサーバ証明書の無効化を発表
上述の通り、年間数千円のコスト増で済むため、導入したサイトがたくさんあります。
ところが、Google Chrome(クローム)とFirefox(ファイアーフォックス)のブラウザが「シマンテック系のSSL証明書を順次無効化する」と発表したのです(IEやSafariなどの他ブラウザの対応は未定)。
無効化とは、「”https”ではなく”http”として扱う」という意味です。理由はシマンテックで不適切な手順で発行したとみられるSSL証明書が相当数あり、なりすましの可能性があるという判断に至ったため、とのこと。
無効化の対象となったのは、シマンテックと系列会社であるジオトラスト(GeoTrust)・RapidSSL(発行元名はジオトラスト)・ソート(Thawte)が発行した証明書であり、SSL化したサイトの約30%を占めています。
昔、ネットショップがSSL証明書を取得する時、ベリサイン(Verisign)が有名でした。ベリサインがシマンテックの子会社となったため、その後もシマンテックを使っているところがたくさんあります。
シマンテックは、証明書のビジネスをDigiCert社に売却していますので、現在は証明書の発行をDigiCert社が担当しています。
問題となるのはRapidSSLなど導入費用が安いため(年間1500~5000円)、導入している事業者が多いことです。DigiCert社から無効化による証明書再発行の連絡が入っているはずですが、担当者が退職していたり、メールを見逃していたりすると証明書の差し替えが適切に行われない可能性があります。担当の方は今一度確認し、しっかり対策をはかってください。
