タグ: 常時SSL化

公衆無線LANの普及に伴い、またNSAによる盗聴事件なども絡んでか常時SSL化の動きが3年前から各サイトでみられています。Googleが従来のHTTP（未暗号）での接続については安全ではないとみなすとまで公言していましたからね。

この前、Yahoo!ブログなども常時SSL化されるなど、その動きが活発になってきており、このブログも1年前に常時SSL化しました。

実際、SSL化の導入コストはどれくらいなのかというと、場合によってはかかりません。

たとえばLet’s Encryptという、無料で取得することができるSSL証明書というのがあります。最大のメリットはやはり無料で取得できることでしょう。証明書の有効期限は90日でおおむね2か月ごとに更新することが望ましいとされる。

デメリットは専用サーバーでない限りは更新が面倒である。90日間有効なため、通常の1年から3年間有効な有料のものと比べて、更新間隔が短く、手間がかかる。ただしこれは専用サーバーなら自動化することで手間もかからないが一般的なレンタルサーバーとなれば更新は設定画面でいちいち設定しなおす必要がある。

もう一つは対応ブラウザが制限されること。たとえばもう既に利用者自体少なくなってきている、ガラケーや意外と利用者の多いニンテンドー3DSやPS Vitaなどといったゲーム機は対応されていないケースが多く、閲覧時に警告が出る場合がある。実はこのブログも一旦はLet’s Encryptによる常時SSL化を検討していましたがゲーム機で閲覧される方がとても多く、無視できないとして有料のものを当面の間使用することにしています。

互換性重視と更新の手間を省くなら、千円台のドメイン認証タイプの証明書でも問題ないと思われます。ただし、企業や団体などといったいわゆる法人はレンタルサーバーなど第三者に鯖の資源を提供するサービスなどを除き、このような証明書は使うべきではなく、実在する組織かどうかを確認するタイプのものが望ましい。ものによってはピンキリですが2万円台からある。ただし大規模なネットサービスのログインページや銀行、クレジットカードなどといった金融ものはフィッシング詐欺防止の観点からブラウザに運営者が表示されるEV証明書というものが望ましい。これについては1年で10万円以上することが多いが発行までに電話で確認したり、それが実在する法人なのか、精査して発行しているため先ほどのドメイン認証タイプや組織認証タイプと比べて、信頼度が高いとされる。

ただし、個人で取得できるのはドメイン認証タイプのみとなっている。

もちろん、SSL化するには別途独自ドメインとVPS・自宅サーバーを含む専用サーバー、SSL化に対応したレンタルサーバーが必要で、たとえばこのブログの場合、ドメイン（tokaido-kun.jp）は年間3000円、サーバーは年間18,770円（さくらのVPS 2G）支払っています。

そのため、導入コストが一番かからない例は

すでに独自ドメインで運用して尚且つVPSを含む専用サーバーまたは独自SSLに対応したレンタルサーバーを使用していることが前提です。