treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

SSL証明書安くなったな、と言う話

セキュリティ

今日はSSL証明書についてのご報告です。
仕事上たまにSSL証明書は取り扱いするのですが、以前はWebサーバでhttpsを使うために用意するサーバ証明書でも年間4、5万円くらいはしていたように記憶しています。

一番有名なベリサイン

最近取り扱っていたのではSymantec社のSSL証明書を取り扱っていましたが、一番安価なSSLサーバ証明書で年間8万円超します。
SymantecのSSL証明書は旧ベリサインのSSL証明書ということで昔からのネームバリューも含め業界標準といってもいい水準のものです。
Symantecは完全企業向けなので在席確認や本人確認、企業の存在確認などを契約時に書面と電話で直接あれこれと手続きを実施する必要があります。Symantecがその存在を証明する証明書を発行しているわけですんで、書面と電話で実態が存在することをしっかり確認する、というのはある種納得です。
ただし、これは裏を返すと、しっかりとした法人の存在がなければSymantecのSSL証明書は使えないということにもなります。個人事業主/フリーランスからすると、高級で名前も通っているSSL証明書は申請に必要な条件の何かが欠落してしまう、ということもあるかもしれません。
ただ単純にhttpsの暗号化をしたいだけなのに、これだけの労力と年間8万円超もするSSL証明書を、単純に有名だからという理由で導入するのもどうなんだろう、と思う方も世の中にはいらっしゃるようです。

COMODOのSSL証明書

まず目についたのはCOMODOのSSL証明書です。
ドメイン認証タイプSSL、とある証明書ですね。
年間9600円から始められるとあって、Symantecの10分の1くらいの価格でSSLサーバ証明書を調達できます。
個人事業主や個人でも取得できるSSL証明書のようで個人を実在認証するようなSSL証明書を発行してくれる企業はあまりお目にかかれません。そういう意味ではフリーランス/個人事業主が自分で使うために取得するSSL証明書としてはかなり有力な候補ですね。。
自サイトをhttps化し暗号化するだけの用途しかない、ということだとこの水準のSSL証明書でも十分に事足りるように見えます。
実際の存在確認もメール認証・Web認証・DNS認証のいずれかでドメインの存在確認ができればOK、ということでSymantecのような担当者の在席確認や法人としての有効性確認などはありません。これがない分COMODOのSSL証明書はこういったことを証明できない、ということでもあるわけですが、実際にSSL証明書を目の当たりにするネット経由のユーザによってはこの裏事情はあまり関係するところではないですね。

COMODOはセキュリティソフト・ファイアウォールソフトでも有名な会社ですので、そういった点からいってもちょっと安心できるのはありますよね。

RapidSSLのSSL証明書

こちらも結構安価に認証の申請も楽にできるSSL証明書を提供してくれます。

運営のバックにはジオトラスト(GeoTrust)という会社がいて、このジオトラスト社はSymantecグループの一員なので、大きな枠で言えばこれもSymantecのSSL証明書、ということになります。ただSymantecのSSL証明書が法人や本人確認をかなり厳しく実施するのに対して、ジオトラスト社のSSL証明書は多少廉価版のような位置づけにあるようです。
10年くらい前にベリサインがSymantecに吸収されたのですが、この辺りの年代でSSL証明書を提供してくれていた各社がくっついたり離れたり社名を変更していたりで元がどこなのかはさっぱりわからない状況になりつつあります。ちなみに昔のジオトラスト社はベリサイングループに吸収されています。そのベリサインがSymantecに吸収されて、いまの巨大なSSL証明書販売会社としてのSymantecが業界リーディングとして存在しています。そんな中、ジオトラスト社の日本法人である日本ジオトラストは本国同様にベリサインに吸収されたわけでなく、グローバルサイン株式会社という社名に変更して(最終的にはGMOグローバルサイン)、現在に至る、ということのようです。そんなこんなで現在同名で存在する日本ジオトラスト社は旧日本ジオトラスト社と関係ない、ということらしいです。
うーん、栄枯盛衰、くっついたり離れたりが激しいですね。

唐突に話を戻しますが、このRapidSSLも安価にSSL証明書を取得できます。COMODOのSSL証明書よりお安くおよそ半分の4300円の価格で調達でき、存在確認・本人確認といった認証作業は全部オンラインで自動的に実施しているそうです。人間がやらない分人件費を掛けなくて済んでいるのでサービス価格に転嫁できているということですね。

SSL証明書の差

単純なサーバ証明書においてもこれだけ価格の差が出てしまうのは、ひとえにSSL証明書を発行する際に掛かる手間の差が価格に反映されている、という考え方もできます。
つまりサーバ証明書一つ発行するために、Symantec社の発行には法人の存在確認をするプロセスが幾重にも貼られていて、なおかつその法人の担当者がその法人に在席しているか、すらきちんと確認したうえでSSL証明書を発行しています。
要するにその申し込み手続きをする担当者が法人に在席していないようであれば騙りの可能性があるからSSL証明書発行のプロセスは進められません、とこういうわけなんですね。
SOHOだとオフィスに電話を掛けられても電話に出れませんからこれでちょっと苦労したものです。人間がオフィスに電話してきてあれこれやっているとSSL証明書を取得しようとしている担当者がその会社内に存在しているのがSymantecでも分かるようになってくるらしいので、それでどうにか取得することはできました。

この確認プロセスがないために、価格が安価に済んでいる、というのがCOMODOのSSL証明書やRapidSSLのSSL証明書なんじゃないかなぁ、という感覚でいます。

つまり、インターネットユーザとしてはSymantecの証明書を使っているようなところであれば、かなり信用していい、ってことですね。もちろん盲信してはいけませんが。