ビジネスユースで無料SSL証明書はアリですか?
常時SSL化について質問です。
当社は従業員20名程度の製造業です。
常時SSL化の際に、Let’s Ecnryptという無料のSSL証明書がありますが、ビジネスユースで使うことは問題無いでしょうか?
結論からいうと、中小規模の製造業で、Webサイトで決済などを行わないのであれば、Let’s EncryptでもOKです。もし決済などを行うのであれば、避けた方が良いかもしれません。
■SSLには2つの役割があります。
1つは通信の暗号化、もう1つはドメイン及び組織の認証です。
まず通信の暗号化についてですが、暗号化の強度自体は、無料のSSLも年間10万円以上する高価なSSLも一緒です。
つまり、値段の違いは、ドメイン及び組織認証のレベルの違いになります。
■SSLのドメイン及び組織認証のレベルは次の3つがあります。
・DV(Domain Validation):ドメイン認証
・OV(Organization Validation):組織認証
・EV(Extended Validation)
DVが一番安くて、EVが一番高いです。
Let’s Encryptのような無料SSLや年間3万円程度の安価なSSLは全てDVです。
DVはそのドメインの持ち主が運用していることを証明はしますが、それが本物か偽物かまでは認証しません。申込みも簡単で、フィッシングサイトでも、取ることができます。
EVは申込みにも多少手間がかかり、費用も年間10万円以上しますが、そのWebサイトが本物かどうかを認証し、ブラウザのURLの左側にも組織名が表示されます。
↓表示例
これはなりすまし防止になるので、フィッシング対策が重要な金融機関などはほとんどがEVを導入しています。
■さて、Let’s Ecnryptですが、これは米国のISRGという非営利団体が運用する無料のSSL証明書です。
日本では気にする人は多くないですが、海外ではLet’s Encrypt がフィッシングサイトの温床になっていて、Let’s Ecnryptを使ったWebサイトを嫌がるユーザーがいると聞きます。ですから、決済などをさせるようなWebサイトでは、避けた方が良いかもしれません(そもそも決済などをするならDVではない方が良い)。
↓参考ニュース
https://news.mynavi.jp/article/20170414-a103/
またLet’s Ecnryptは、有効期間が90日間なので、およそ3ヶ月おきに更新手続きが必要です。しかし、3ヶ月おきの手動での更新作業はあまり現実的ではないので、スクリプトを使った自動更新が必要ですが、この自動更新に対応しているレンタルサーバはかなり限られます(これから増えるかもしれませんが、今のところ、私が知る限りはさくらサーバとエックスサーバぐらい)。
あとは、専用サーバやVPSのようなroot権限のあるサーバで、自分で設定するしかありません。
■ということで、質問者様のビジネス環境であれば、Webサイトで決済などは行わず、かつサーバが自動更新に対応できるなら、Let’s Ecnryptはアリだと思います。
関連記事こちらの記事も合わせてどうぞ。
山浦 仁 / ウェブラボ株式会社 代表取締役
大学卒業後、大手Web制作会社にてWebディレクターとして数多くの国内大手企業のプロジェクトに携わる。2004年にウェブラボを設立。2007年には中小企業向けのWeb制作ノウハウとCMS機能をパッケージにした「サイト職人CMS」を発表。現在は、中小企業だけでなく大手企業からの引き合いも多く、Webコンサルタントとしても活動中。上級ウェブ解析士。全日本SEO協会認定コンサルタント。