crocodile notebook

feedly feedburner google+ twitter facebook creative commons BY:2.1 プロフィール


ssl0

職業柄、個人情報の漏えい事件が世間を賑わすと「ウチもなにか対策しないとマズイ気がする」など思うのか「WEBのセキュリティと言えば基本はSSLってヤツらしいけど、そこんとこどうなの!?」といった質問が増えてきます。

2014年にGoogleが「検索結果でHTTPSのサイトを優遇するロジックを実装した」と受け取れる趣旨の発表がありました。
セキュリティ事件などでSSLの単語を目にするようになると、WEBの担当者も「SSLかぁ……」と思い出すのか、安いSSL教えてくれといった質問が増えてきます。

SSL、高いイメージありますよね。
1年で数万円とか、なかなかちょっとお高いですよね。
でも今は用途に合わせて正しく選べば、とてもリーズナブルに利用できます。
個人のブログでも独自ドメインで運用しているならば、SSLの導入が求められている時代になってきたようです。

そこで今回は「個人」「個人事業主」「小規模法人」向けのオススメSSLについてご紹介します。

以下の情報は2016年6月時点の内容です。
SSLの価格はつねに変化しています。
導入に際しては最新の情報を確認してください。

SSL証明書はどれを選べば良いの?

SSLには以下の3種類があり、それぞれ対象とする利用者が異なるため、その利用料もおおきく異なります。

■ 強化認証SSL(EV SSL)
  行政や金融機関、大量の個人情報を取り扱うような企業で採用されるSSL証明書。
■ 企業認証SSL(OV SSL)
  登記簿などドメインと所有者の実在証明が必要になるSSL証明書。
■ ドメイン認証SSL(DV SSL)
  ドメインを所有していればオンラインで簡単に発行できる手軽なSSL証明書。

個人のWEBサイトでSSLを適用したいのであればDV SSLで十分です。
SSLは12か月の有効期限になるものが多いですが、更新の手間を惜しまなければ有効期限が3ヵ月のSSL証明書が無料で利用可能です。
個人事業主や小さい企業であればDV SSLでも十分ですが、法人として信頼性を少しでも得る必要があるWEBサイトの場合にはOV SSL以上を検討してください。

SSLの暗号にもいくつかの方式があり、2016年6月現在ではSHA2(SHA256)が標準の方式になります。
これより古いSHA1方式のSSL証明書では、あたらしいブラウザで非対応となってしまうため「不適切なSSL証明」と扱われて、せっかくのSSL証明書が逆効果になってしまいます。
SHA1の証明書の利用は2017年から原則廃止されますので、これから申請(更新)するSSL証明書はすべてSHA2(SHA256)になります。

ssl1

どこのSSL証明書を選べば良いの?

「古いものから最新のものまで、幅広いブラウザに対応できるSSL証明書が良い証明書だ」と言った主張をする方もいますが、古いブラウザでは対応していないSHA2方式のSSL証明書が標準となっています。
SSLを必要とする目的のひとつはセキュリティですから、より強固なSHA2方式に対応している新しいブラウザに対応していれば十分です。

以前はSSL証明書=ベリサイン(VeriSign)と言われるほどにブランドイメージが固着していた時代もありましたが、現在は以下がSSLの国内4大メジャーになるようです。
Symantec ※旧ベリサイン
GeoTrust(Symantecグループ)
GrobalSign(GMO)
COMODO SSL

法人用途であれば対応しているブラウザの内容や利用料のバランスからGeoTrustのDV SSLをオススメしますが、個人事業主であればさらに安価なSSL証明書でも十分だと思います。
手軽で安価なSSL証明書、それが「SecureCore CoreSSL」です。

認証方法 ドメイン認証
発行スピード 即時~1日
発行対象 企業、個人事業主、団体、個人
提出書類 不要
追加ライセンス 同一のコモンネーム(サイトURL)であれば
無償で複数のウェブサーバに複製して利用可能
有効期間 最長3年
携帯端末対応
[スマートフォン]
・Android(Androidブラウザ):Ver1.5以降
・iOS(Safari):iOS 1.0以降
・Windows Phone(IE Mobile):Windows Phone 7以降
・Blackberry(Blackberryブラウザ)
[フィーチャーフォン]
au / docomo / Softbank
2009年度秋冬モデルの機種より順次対応(対応率91%)
PCブラウザ対応 ・Internet Explorer(Windows版)5.01以降
・Firefox 1.0.0以降
・Google Chrome すべてのバージョン
・Safari 1.2以降
・Opera 7.0以降
ワイルドカード機能 非対応
サイトシール 非対応

引用:https://www.securecore.co.jp/ssl/sslcert/

どこで申請すれば良いの?

SecureCore CoreSSLは2つの販売パートナーがあります。
もしXSERVERのレンタルサーバー(VPSサービス)を利用しているならば、XSERVERで申請するのが手軽だと思います。
XSERVER以外のレンタルサーバー(VPSサービス)を利用しているならば、SSLBOXから申請します。

160622-0001

SSLBOXは1年契約/990円、2年契約/1,780円(年890円)、3年/2,370円(年790円)と、SSL証明書が1,000円以下で利用可能です。
安いですね。

さらに3ヵ月のDV SSLであれば無料です。
無料と言っても下記のブラウザに対応しているので、手軽にSSLを使いたいのであれば不足はありませんね。
■ Internet Explorer(Windows)
■ Microsoft Edge(Windows10)
■ Google Chrome(Windows、Mac OS X、Linux、Android、iOS)
■ Mozilla Firefox(Windows、Mac OS X、Linux、Android、iOS)
■ Apple Safari(Mac OS X、iOS)

ssl2

SSL利用で注意することはないの?

SSLの利用はWEBサイトのHTMLソースなどで設定するのではなく、WEBサーバや、サーバへの経路上で設定するものなので、正しくSSLを設定していればWEBサイト側で特別な何かをする必要はありません。

通常のDV SSLを利用する際に絶対に守らなければならないことは「WEBサイトのドメインと完全に一致した文字列で申請する」ということ。
当ブログでDV SSLを申請する場合であれば「mag.torumade.nu」のドメインで申請する必要があります。
通常のDV SSLは1つのSSL証明で1つのドメインしか対応しません。
「a.torumade.nu」「b.torumade.nu」など複数のサブドメインを1枚のSSL証明でサポートしたい場合、ワイルドカード証明書が必要になります。
ワイルドカード証明書は通常の1ドメインのみに対応した証明書より10倍以上も高額になるので、大量のサブドメインでSSLが必要になる場合しか用途はありません。

次に、絶対ではないけれど、守ったほうがより良いのが以下の3点です。
1. 混在エラーの回避
自ドメイン内から呼び出すCSSやJavaScript、画像などをHTML文中に記述する際に「http://」で始まるパスを記述している場合、HTTPS混在エラーを避けるために「https://」で始まるパスに記述を修正します。

2. Cookieにセキュア属性をつける
Cookieを利用している場合、Cookieの読み書きにもSSLが利用されるようにセキュア属性を与えます。
セキュア属性が与えられていない場合、混在エラーが発生する可能性があります。

3. どんなときでもhttps://
メールの署名でも、名刺のURLでも、どんなものでも必ず「https://」から始まるURLで記載するのを忘れずに。
SSLを導入していても、それを案内していなければ意味がありません。


Let’s Encryptであれば無料でSSLが利用できる環境にもなったので、個人のブログなどであっても独自ドメインを所有しているならばSSLの導入は要検討ですね。

このブログですか?
SSLを施すとページの表示が遅くなってしまうのでサーバの調整も必要で、直すのめんどくさくて混在エラーもあり、まだ完全には導入できていません……



Master Lock 【正規輸入品】 ポータブルパーソナルセーフ ブラック 5900D
Master Lock (2015-03-01)
売り上げランキング: 12,907

 


年額790円から、3ヶ月期限であれば無料まで。個人や個人事業主にオススメのドメイン認証SSL

UPDATE: 2016.06.22
, , ,




併せ読みに選ばれている
記事はこちらのようです

Chrome56からSSLで保護されていないWebページでパスワード入力を求めると警告が表示されます

Chrome56からSSLで保護されていないWebページでパスワード入力を求めると警告が表示されます

ブラウザシェアトップのGoogle ChromeでSSL暗号化通信が施されていないWebサイトへアクセスした際、安全ではない旨の警告が表示されるようになりました。

複数ブラウザから利用可能でソーシャルサービスとの同期もできるオンラインブックマーク『Kippt』

複数ブラウザから利用可能でソーシャルサービスとの同期もできるオンラインブックマーク『Kippt』

Safari、Chrome、Firefox、Operaに対応したオンラインブックマークサービスです。 ブックマークのシェアや他SNSとの連携など、シンプルで使いやすいサービスですよ。

モリサワが提供するクラウドフォント「TypeSquare」が年内無料で利用できますよ

モリサワが提供するクラウドフォント「TypeSquare」が年内無料で利用できますよ

閲覧者の環境にないフォントでもCSSで設定できるようになります。 これでWEBの日本語表現もかなり幅が広がりますね!

Safari以外でリーディングリストを使いたいなら「My Reading List」が便利ですよ

Safari以外でリーディングリストを使いたいなら「My Reading List」が便利ですよ

Google ChromeやFirefixでリーディングリストに登録したサイトを閲覧したい場合にとても便利です。 リーディングリストのためだけにSafariを使ってた場合には重宝すると思いますよ!

写真作品とその作品のクリエイターを検索できるエンジン『Mediachain Attribution Engine』

写真作品とその作品のクリエイターを検索できるエンジン『Mediachain Attribution Engine』

写真を利用するだけではなく、ライセンスに対して適切な取扱を促すことで作品の製作者へ利益を還元することを目的にした写真検索サイト。すでに1.2億枚の作品がインデックスされています。

Safariに拡張機能を入れて使いやすくカスタマイズしてみました

Safariに拡張機能を入れて使いやすくカスタマイズしてみました

iCloudやiOS5との連携を最大限に活用するにはSafariが必要だけど、ちょっと使いにくい部分もある。 そんなSafariを機能拡張で使いやすくカスタマイズしましょう!