最近レンタルサーバを見ていると、安いSSLプランが売られている。
しかし安価なSSLは、暗号化通信を実現するだけで、なりすましを防げず、ECサイトを運用するには不向き。
サーバ証明書の3種類の違いを以下の通りまとめる。
目次
電子証明書の役割
SSL(TLS)証明書の役割は、「Webサイトで送受信する情報を暗号化すること」と「Webサイト運営者の身元を証明すること」の2つ。
両方できるのはEV証明書とOV証明書。DV証明書は暗号化のみ。
EV証明書(Extended Validation)
Webサイト運営者の身元をより厳格に書類と電話で確認して証明
商品例・サイバートラストのSureServer EV、シマンテックのセキュア・サーバ ID EV
用途例・個人情報の入力が必要な会員制サイト、クレジットカード情報や個人情報の入力が必要なECサイト、企業サイト、オンラインバンキング
・なりすましを防ぐことができ、ブラウザのhttps部分を緑色で表示できる。
ユーザが安全性を視覚的にわかりやすく確認できる
OV証明書(Organization Validation)
Webサイト運営者の身元をメールと電話で確認して証明
商品例・サイバートラストのSureServer、シマンテックのセキュア・サーバ ID
用途例・個人情報の入力が必要な会員制サイト、クレジットカード情報や個人情報の入力が必要なECサイト
・なりすましを防げるが、証明書を細部まで確認する必要がある。ユーザが都度都度チェックするのは現実的ではない。
DV証明書(Domain Validation)
ドメインの使用権があることを証明
商品例・RapidSSL
用途例・ 問い合わせフォームやキャンペーン応募など各種フォーム、イントラネット環境、開発環境
・低価格で、証明書発行が早い。
・「ドメインの使用権があること」の確認と証明をするだけで,「誰がそのWebサイトを運営しているのか?」という身元確認及び身元証明はしてくれない。つまり、なりすましを防げない。
参考にしたサイト
第3回 SSL証明書ビギナー歓迎! httpsから始まるURLの役割と仕組みを0から学ぼう:Webデザイナーなら知っておくべき サーバ知識相談室|gihyo.jp … 技術評論社
企業認証の審査に加え、各種書類および第三者機関のデータベース等により、申請組織が法的・物理的に実在しているかを確認すると共に、申請者の在籍確認と電話確認を行います。 審査が厳格であるため、証明書の発行まで時間はかかりますが、緑のアドレスバー表示により、安全性をわかりやすくアピールすることができます。
改めて知ろう、SSLサーバー証明書とは?(第二回) – さくらのナレッジ