SSLを導入する中でまず最初の検討として、無料SSLのLet’s Encryptにするか?有料SSLにするか?です。
有料証明書があるのは知ってるけど、お金かけたくないから無料でいいや。 という判断でLet’s Encryptを導入される方が大半かと思います。
しかし、無料SSLと有料SSLの違いを知らないで判断するのと、知って判断するのとでは意味が違ってきますので、今回はこの2つの違いについて解説していきます。
目次
セキュリティ強度に違いはない
まず、無料SSLと有料SSLにおいて、セキュリティ強度に違いはありません。
どちらかと言えば、セキュリティ強度はサーバー自体のセキュリティ対策が関係してきますので、正しくhttps化出来ていれば証明書自体にセキュリティの差はありません。
少なくとも、クライアントとサーバー間で送受信されたデータが不正に傍受されることは限りなく低い確率です。(SSL自体の脆弱性が突かれたらどうしようもありませんが…)
ではなぜお金を掛けてまで、有料証明書を選択する意味があるのでしょうか? その違いについて詳しく解説します。
有料証明書のメリットは信頼性の担保
SSL証明書の種類は大きく3つあることは、【表で解説】レンタルサーバーにより対応するSSL証明書の種類は違う?の記事でご紹介しました。
- ドメイン認証型(DV認証)→ ドメイン所有レベル
- 企業認証型 (OV認証)→ 法的レベル
- EV認証型 → 法的/物理的レベル
分かりやすく、「法的」「物理的」という注釈を入れました。
ドメイン認証である無料SSL証明書Let’s Encryptは、そのドメインの所有者が誰であろうと、自動的に証明書が発行されます。 つまり、悪意のあるフィッシングサイトでも簡単にSSL化が出来てしまうので、ドメイン認証型は証明書の信頼性だけで見たらフィッシングサイトと同レベルとなります。
一方、法人しか取得出来ないOV認証やEV認証の証明書は、会社の登記情報や存在確認、EV認証に限ってはその会社の住所に物理的な拠点が存在するかなどの調査を行った上で発行される証明書なので、ドメイン認証に比べ遥かに信頼性が高いと言えます。
では、有料証明書でもドメイン認証があるではないか! とツッコミが入るかも知れませんが、これはこれで無料との違いがあります。
ドメイン認証型の無料証明書と有料証明書の違い
ドメイン認証型 (DV認証) でも無料と有料があります。具体的な違いを表にまとめました。
| 無料SSL(DV認証) | 有料SSL (DV認証) | |
|---|---|---|
| 暗号化通信 | 〇 | 〇 |
| サポート | ― | 〇 |
| SEO対策 | 〇 | 〇 |
| 有効期限 | 3ヵ月 | 1年~2年 |
| サイトシール | 〇 | 〇※1 |
| 費用 | 無料 | 1,000円~数万円 |
| インストール難易度 | 低 | 高 |
※1 証明書の種類によります。
繰り返しになりますが、ドメイン認証型は対象となるドメインの所有が確認できれば証明書が発行できるので、フィッシング対策やなりすまし対策としては、無料も有料も同じです。
ただ、サイトシールというSSL証明書期間が発行したバナーのようなものがサイトに貼れる有料証明書もあるので、この場合信頼性ではやや上といったところでしょうか。
法人ならOV認証かEV認証を検討すべき
企業認証型 (OV認証) は、企業の実在性を証明するSSL証明書です。
登記情報の審査や実在性確認などの厳格な審査を行ったうえで証明書が発行されます。
EV認証型は、最高レベルのSSL証明書です。
第三者機関への照会、企業や組織の実在を証明する手続きの他、電話による在籍確認・申請意思の確認を行ないます。証明書の発行までに時間はかかりますが、サイト運営会社の実在性を法的・物理的に確認・認証することで、世界最高水準の安全性と信頼性を実現します。
特にクレジットカード情報などを入力するECサイトや、大量の個人情報を取り扱うサイトを運用する上で欠かすことのできない証明書となります。
とはいえ、ユーザーが「このサイトはどんな証明書を使っているのか?」を意識するケースはあまりないと思いますが、有事の際にOV認証やEV認証を使っていることが説明する上での効力となりうるので、是非検討されてみてください。
