サーバー認証って何ですか
Webに携わらない人にとって、サーバー認証SSLなんて言われても何のことですか・・?
という人は多いんじゃないですかね・・。
ホームページを運用する場合、運用する側からもユーザー側からもデータのやり取りが行われています。
特に重要なデータのやり取りは、ネットで商品やサービスを購入したとき等の個人情報や決済用のカード情報のやり取りです。
このデータのやり取りを、インターネット上でのぞき見する者がいたりします。
カード情報なんかばれたら大変なわけです。ばれないために通信のやり取りを全て暗号化してしまう仕組みがサーバー認証SSLです。
ほかにもインターネットでは、大手企業や銀行の偽物のホームページを作りだまして情報やお金を盗む者もいたりします。
偽物のホームページを作られないように、このホームページは間違いなくこの会社のものですよ、大丈夫ですよ、という証明になるのがサーバー認証SSLです。
サーバー認証SSLを設置することを、SSL化すると言います。
SSL化したホームページは、ドメインが http://~で始まるものが、https://~になっています。「S」が付くんです。
サーバー認証を導入しないとどんなことになりますか?
ちょっと前までは、http://~か https://~ なのか、
ホームページのアドレスをしっかり確認しないとあんまりよくわかりませんでした。
しかし、GoogleChrome はじめ、Edge やFirefoxなどのブラウザでは、SSL化されていないホームページでは、URLの部分に「保護されていない通信」等と表示されるようになってきました。
これだけでも、ホームページのイメージは悪いですね。
さらに深刻なのは、SSL化の設定ができていない段階で、URLをhttps://~で打ち込んでみると・・・。
ホームページが表示されず、ホームページ自体が危険なサイトであるがごとき表示になってしまいます。
これば、大問題。
Googleさんは、何年も前からSSL化を推奨しています。利用者の安全のために必ず必要だと訴えてきていたんです。
当初、ホームページを運用している企業側では、あまり積極的に導入してはくれませんでした。
ここ2、3年GoogleはSSL化されていないホームページが明確になるように、「保護されていない通信」と明記するようになりました。
サーバー会社側も、無料でSSL化するサービスも始めたため、SSL化はだいぶ広がったように思います。
今後は、インターネットを利用するユーザーのために、SSL化はどんどん進めましょう。
今後はSSL化+URL管理をしっかりしないと、困ったことになる。
2020年3月17日の時点で、SSL化の基準がさらに厳しくなりました。
GoogleChrome最新版では、SSL化したはずのhttps://~アドレスのホームページの中に、同じアドレスでhttp://~のままになったリンクやファイルが残っていた場合、URLの表示は「保護されていない通信」と表記されてしまいます。
さらに、SSL化しているホームページ内で、別のページに飛ぶURLが http://~ のままであった場合、リンクされなくなってしまいます。
あなたのホームページもちゃんと確認をしておかないと、リンク切れが発生してるかもしれません。
もっと厄介なのが、画像登録した際に、画像ファイルのアドレスがhttp://~ のままになっていた場合、URLの表示が「保護されていない通信」になってしまいます。
メンテナンスをこまめに行い、トラブルのない運用を心がけましょう。
サーバー認証の種類と違い
当初、サーバー認証に年間費用がかかるので、導入を避ける企業が多かったように思います。
確かに高額な費用のかかるものもあります。しかし、無料で利用できるものもあります。
その違いは何なんでしょうか?
サーバー認証SSLには3つのレベルがあります。
①DV認証(ドメイン認証)
②OV認証(実在認証)
③EV認証(実在認証)の3つです。
①DV認証(ドメイン認証)
費用=安い、もしくは無料もある。
DV:Domain Validation)は3段階ある認証の中で最もシンプル、手軽な認証。サーバー会社が無料サービスで付けてくれる認証はほぼDV認証です。
DV認証は、ドメインの所有者であることをメールやWebファイルの認証設置のみで取得できる認証です。
ドメイン取得登録をしてサーバー会社からすぐに発行してもらえるから、ほぼ誰でも取得できてしまう認証です。
近頃、詐欺サイトでもDV認証はついているらしいので、必ずしもSSL化しているからと言って信頼できるとは限らないんですね-。
②OV認証(実在認証)
費用=少しかかる
(OV:Organization Validation)は、DV認証よりもひとつ厳重な認証です。企業や組織としてそもそも存在しているのかを確認してはじめて認証を得られます。登記事項証明書や電話で申請者の所在を確認するなどしたうえで発行される認証になります。
③EV認証(実在認証)
費用=けっこうかかる。高いもので年間100万円以上する。
(EV:Extended Validation)は、さらに厳重な確認の上で発行される認証です。
実在の企業がどの担当者を窓口にしてどのサーバーと契約して、保持しているURLで間違いありませんと明確にしてくれる認証です。
インターネットは悪意を持ったフィッシングサイトなどが作らせる世界です。大企業や銀行のホームページとウリ二つの偽物サイト(フィッシングサイト)などが作られないように精度の高い認証が行われます。
SSL化は企業責任、ユーザーの安全のために導入しましょう。
あなたが会社のホームページ担当者であるなら、あなたの会社に興味を持って来てくれるユーザーが詐欺にあわない、不安にならないための取り組みとしてSSL化は導入していただきたい。
すべての会社がホームページから収益を上げるわけではなりませんが、いまやホームページは会社にとっては社員の一員と同じです。ちゃんとした形にしてあげて、お客様(ユーザー)に正しい情報を提供したり安全に利用できる場にする手間を惜しまないでください。
悲報、サーバー認証があるサイト=安全なサイトとは限らない!
ここまで説明して何ですか、と言いたいのはごもっとも。
しかし事実なんです、SSL化することで暗号化通信はデータの横取りを避けることはできます。しかし、なりすましは完全には排除できていません。なんと、詐欺サイトもSSL化して作られているそうです。
3年位前までは、カード番号を入れるのにSSL化されてるか、されてないかで判断もしていました。でも、今はそうはいきません。そもそも、無料SSLなんかはサーバー会社の管理画面から申し込みボタンをポチッと押して即設定できてしまいます。https://~=信頼の証とはいきません。
それでも、SSL化していないとデメリットだらけです。
ホームページを運用する側のマナーとして、SSL化は必ず実施しましょう。
