以前、以下記事で”Google はサイトの「HTTPS」化を望んでいる”ということと、その結果、今後個人のサイトでも全ページが「HTTPS」化するだろうということをお伝えしました。
【レンタルサーバー初心者向け】 エックスサーバーで「無料独自SSL」を導入してサイトを「https化」してみた
サイトの HTTPS 化の流れは今でも続いています。
今回は「無料SSL証明書」と「格安SSL証明書」について考察してみました。
サイトの全ページ HTTPS 化はトレンドではなく必須に
Google が HTTPS ページを優先的に検索エンジンのインデックスに登録すると公表しているので、多くのサイト運営者は「HTTP(暗号化なし)」から「HTTPS(暗号化)」にサイトを移行しています。
Googleの取り組み
「Google ウェブマスター向け公式ブログ」を確認すると、以下の記事が確認できます。
HTTPS ページが優先的にインデックスに登録されるようになります
https://webmaster-ja.googleblog.com/2015/12/indexing-https-pages-by-default.html
HTTPS をランキング シグナルに使用します
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html
格安SSL証明書
SSL証明書を導入する必要があることは分かりました。
しかし、一般的に SSL 証明書は高いです。
ただし、最近は「格安の SSL 証明書」も提供されるようになってきました。
以下、Netowl の「SSL BOX」参考価格です。
- CoreSSL 年額 990円
- CoreSSL(ワイルドカード) 年額 16,000円
- SecureCore(ドメイン認証) 年額 5,000円
- RapidSSL 年額 4,000円
- RapidSSL(ワイルドカード) 年額 40,000円
- GeoTrust 年額 15,000円
RapidSSLが年額4,000円で購入可能です。
無料 SSL 証明書は「Let’s Encrypt」一択
更に「無料 SSL 証明書」も提供されています。
【本家】Let’s Encrypt
【日本語サイト】Let’s Encrypt
以下、無料SSL証明書の「Let’s Encrypt」の導入手順と解説です。
レンタルサーバーのサービスを利用せずに、自分で Let’s Encrypt を導入する手順
【無料 独自SSL証明書】 なぜ無料でSSL証明書を提供できるのか? Let’s Encrypt とは何か?
Let’ Encrypt は無料 SSL 証明書の発行サービスをしています。
Let’ Encrypt 自体が認証局(CA)として「SSL/TLS サーバ証明書」を無料で発行しています。
認証は「ドメイン認証」です。
→ようするにドメイン使用権のみ認証しています。
会社・組織の法的実在の確認までして認証しているわけではありません。(つまりウソの会社でも認証されます)
なぜ無料 SSL 証明書が発行できるのか、その秘密ですが、Let’s Encrypt は SSL 証明書の発行・インストール・更新を自動化しています。
この自動化と、Let’s Encrypt をバックアップしている(スポンサーとなっている)各企業(シスコ、アカマイなど)の努力により「無料・無償」となっています。
Let’ Encrypt のルート証明書はアメリカ合衆国大手認証局(CA)である IdenTrust 社で、Let’s Encrypt は IdenTrust 社発行のルート証明書に紐付くクロスルート証明書を発行しています。
■クロスルート証明書とは
クロスルート証明書とは、あるルート証明書から発行されたサーバ証明書を別のルート証明書からでも利用できる証明書です。
本来なら
- ルート証明書A → サーバー証明書A
- ルート証明書B → サーバー証明書B
という信頼関係のチェーンで結ばれていますが、クロスルート証明書は、
- ルート証明書A → サーバー証明書B(クロスルート証明書)
でも利用できます。
他に無料 SSL 証明書としては「StartSSL」があるが注意
他に無料 SSL 証明書と言えば「StartSSL」が有名ですが、運営会社の StartCom 社は中国の WoSign 社に買収され、更に不正な SSL 証明書を発生していたことが発覚しました。
その結果、著しく「StartSSL」の信頼性は落ちています。
いつ Google Chrome 上から排除されるのか不明な状態です。
そのため「StartSSL」には手を出さない方がいいでしょう。
「Googleのセキュリティブログ(Google Security Blog)」に以下の記事が掲載されています。
Distrusting WoSign and StartCom Certificates
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
よって無料だとしても自分のサイトに「StartSSL」は導入しない方がいいでしょう。
いつ信頼できない SSL 証明書とされ、ブラウザから閲覧できなくなるか分かりません。
SSL証明書を巡る争い(Google vs Symantec)について
SSL証明書で最近(今現在も)争っているのが、Google と Symantec です。
Google は検索エンジンの王者です。
Symantec は「Symantec」、「GeoTrust」、「RapidSSL」ブランドを抱えています。更に Thawte(ソート)、Equifax(エクィファックス)など多数のCA(認証局)を抱えており、SSL証明書のシェアは全世界で 30~40%あると言われています。
この Google と Symantec がSSL証明書で争っています。
※ただし、2017年8月2日、Symantec者はCA(認証局)事業をアメリカ DigiCert 社に9億5000万ドルで売却することになり、Symantec社が一歩退く形になりました。
事の経緯は、Google が信頼性の低い SSL 証明書が3万件も Symantec 社より発行されていると主張したところから始まりました。
Google は過去にも Symantec 社の SSL 証明書の発行に不手際があったことや、ここ数年の Symantec の SSL 証明書発行ポリシーが信用できないと言っています。
更に Symatec 社は Thawte、Verisign、Equifax など、世界中に展開されている認証局(CA)を買収しているため、同社が発行する SSL 証明書は世界中に広がりすぎてリスクが高いと Google は見ています。
Symantec 社は反論しました。
その後 Google は Google Chrome が2017年8月8日から2016年6月1日以前に発行されたすべての Symantec、GeoTrust、RapidSSL ブランドの証明書を警告/エラーの対象となることを提案しました。
→しかし Google は、2017年8月8日の対応期限は一旦取り消され、Google Chrome では警告/エラーの対象にはなりませんでした。
しかし、一旦期限は延長されたものの、Google は以下の対応をすることを発表しています。
- Google Chrome 66 → 2016年6月1日以前に発行された証明書で警告/エラーを出す
※Google Chrome 66 は、2018年3月15日リリース予定
- Google Chrome 70 → 完全に削除
※Google Chrome 70 は、2018年10月23日前後にリリース予定
Google Developpers Japanより
Chrome が Symantec の証明書に対する信頼を破棄する予定について
https://developers-jp.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
以下「Google Developpers Japan」からの抜粋です。
※ちなみに現在の「Google Chrome」のバージョンは「62.0.3202.75」です。
コメント
コメント一覧 (1件)
WebサイトのHTTPS化について調べていてこのページに出会いました。大変勉強になりました!
Let’s Encryptの利用を検討してみます。
以下のページも面白かったので、ご参考までに載せておきます。
「今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景」
https://employment.en-japan.com/engineerhub/entry/2018/02/14/110000