SSLサーバー証明書をより安く。ECサイトを応援。

SSL証明書は、以下の役割を果たすものです。

１．サイト訪問者が、サイト所有者を確認する (実在認証)
２．サイト訪問者が、サイト所有者に暗号化して情報を送信する (暗号化)

フィッシング詐欺などインターネット犯罪を防ぐだけではなく、サイト訪問者に安心感を与えます。 特に、カード決済や個人情報の入力ページでは設置が必須のものとされていますが、 SSL証明書にはさまざまな種類があり、何を基準にどれを使うかの選択が容易ではありません。以下に、おおまかな基準をあげておきます。

１．価格

定価27,000円のComodoから定価85,000円のベリサインまで、同じSSL証明書でなぜ価格がこんなに違うのか迷うかもしれません。その理由として以下のことがあげられます。

A. SSL証明書の発行元(認証局)の運営経費が異なる
発行元がSSL証明書を発行するにあたり、申請者が本当にその団体であるかを確認するために電話をしたり、書類を提出させたりする場合があります。そのような事務手続きに経費がかかります(したがって審査の簡易なSSL証明書ほど価格が安くなります)。また、発行元自体もデータセンターなどで高度なセキュリティを維持するために費用がかかります。

B. SSL証明書の条件によって、需要と供給の関係のバランスが異なる
発行コストがかからなくとも、携帯電話での閲覧に対応していたり、多くのブラウザに対応する証明書はそれだけ人気があり、高くても買われます。また、歴史が浅く、これから市場に大量に流通させる必要のあるSSL証明書発行元は、初期段階で価格が安くなっています。

C. ブランド力を維持するために、高い価格を維持している
ブランド品と同じように、SSL証明書発行元には、高い価格を維持することによってそのブランド力を維持するというビジネス戦略があります。一般インターネット利用者に人気があれば、サイト運営者は高くてもそのSSL証明書を選ぶでしょう。実際、そのブランドが好きか嫌いかが、SSL証明書の選択の決め手になったりします。

D.　大量販売による価格低下
大量販売をすればそのぶん仕入れ値は安く済み、お客様に値引きすることが可能です。Joe’sでは高価なベリサインのセキュアサーバーIDをおよそ半額の42,525円(定価85,050円)、 ComodoのInstantSSLにいたっては7,350円(定価27,000円)でご提供しております。市場のように大量に仕入れていることからサイト名は由来しています。

２．携帯電話への対応状況

SSL証明書発行元が、PCブラウザや携帯機種の開発元に依頼しないと、そのSSL証明書は動作しません。日本で流通しているベリサイン、ジオトラスト、グローバルサイン、Comodo、アルファSSLなどは、もともと国際的なSSL証明書発行業者で、PCのブラウザには古くから対応しています。しかし、日本で流通している携帯機種に対応させるには、日本の開発業者に設定を依頼する必要があります。また、その設定された新しい機種が広く流通しないと、未対応の旧機種の比率が多くなり、それだけ対応率が悪いということになります。携帯電話対応率が90%を超えるには、各携帯機種提供業者に依頼してから３年以上かかるといわれています。

３．実在認証

情報の暗号化は、SSL証明書の機能(アルゴリズム)としてもともと備わっているものです。暗号化のみを利用するのであれば、オープンソースであるopenSSL(無料)を利用しても良いと思われます。ですから、有料のSSL証明書を使う意味は実在認証の機能にあるとも言えるでしょう。グローバルサインのクイック認証SSLやジオトラストのQuick SSL Premium、アルファSSLは、申請時に発行元で、申請内容とそのドメインのwhois情報が一致することの確認を行うことでもって審査とします。（ドメインのwhois情報で審査することをドメイン認証といいます）しかしwhois情報は自己申告で比較的容易に変更できるものですから、虚偽の内容のwhois情報でもって発行されたSSL証明書がフィッシング詐欺などの犯罪に利用される可能性もゼロではありません。他方、ベリサイン、Comodoの全製品、およびグローバルサイン、ジオトラストの上位の製品では、実在確認書類の提出または帝国データバンクコードの提出が義務付けられています。ベリサインのように、原則として電話での確認を行った上で発行されるSSL証明書もあります。

４．ロゴとシール

SSL証明書を利用していることをweb上で示すものにサイトシールとロゴがあります。Comodo社の証明書のひとつ、InstantSSLではサイト所有者の情報は表示されず、Comodo社のSSL証明書を利用しているということのみを表示するロゴが提供されます。これをサイトシールとよび、サイト所有者に対応した情報表示がされるものをロゴとよんでいます。Comodo社以外の業者ではサイト所有者の情報を一律で表示しています。ドメインのwhois情報で実在確認を行う「ドメイン認証」で発行されるSSL証明書ではドメイン名が、それ以上の審査で発行するSSL証明書では、サイトの所有者とその住所が表示されます。なお、Joe’sで提供しているComodo社のロゴでは、所有者および住所が日本語で表示されます。これは、ベリサインやジオトラストには無い機能です。

５．FQDN(コモンネーム)

FQDN（Fully Qualified Domain Name）とは、www.やサブドメイン名などを省略せず完全に記述されたドメイン名を指します。
SSL証明書はこのFQDNひとつに対して機能します。

https://www.ドメイン名
https://ドメイン名
https://サブ.ドメイン名

上記は別のFQDNですから、それぞれ別の SSL証明書が必要です。ただ、Comodo、グローバルサイン、アルファSSLでは、1個のSSL証明書で、www.がドメイン名の前につくFQDNとつかないFQDN の両方に対応します。しかしサブドメインに関しては同じSSL証明書が使えませんので、別の証明書が必要です。またジオトラストやベリサインにこの機能はなく、www.のありなしを区別してひとつのFQDNに対して証明書がひとつ必要です。
なお、ワイルドカードといって、ジオトラストとComodoではすべてのサブドメインに対応するSSL証明書を提供していますが、これは価格がかなり高くなっています。

６．EV SSL

現在ご覧になっているこのページのURL表示バーが緑色になっているかと思われます。これはEV SSL証明書といって、厳しい審査を経て発行されるSSL証明書を利用していることを意味する表示です。EV SSL証明書は、ドメイン認証のSSL証明書の増加など、証明書発行の審査が簡易になってきたことに対する反省から近年始まったものです。現在は金融機関などの高度なセキュリティが必要なサイトでしか利用されていませんが、サイト訪問者に安心感を与えるメリットが大きく、今後利用が広まっていくものと思われます。

７．SGC機能

情報の暗号化に関する機能です。SSL証明書では、ブラウザとサーバそれぞれの暗号化強度のうち低いほうを選択して通信を行います。 SGC(Server Gated Cryptography)はこれを適用せず、40bitや56bit程度の暗号化強度のブラウザを利用しているときでも、強制的に128bitまで強度を引き上げる機能です。ベリサインのグローバルサーバーID、ComodoのSGCSSL、グローバルサインの全製品、アルファSSLの全製品などがこの機能を持ちます。ワイルドカード、EV SSLなどとは独立の概念です。

８．発行までの日数

EV SSL証明書は、厳正な審査のために30日以上必要となる場合があります。ベリサインのSSL証明書は、更新(日本ベイサインなど他社で取得された場合も含む)の場合、平均2-3営業日で発行されます。ただし、証明書は発行元認証局など複数の機関を経由して発行されるものであり、自動では行われないので手続きの日付・時間帯によって前後します。また、新規の場合には、ほとんどの場合電話による確認があります。また、帝国データバンク番号、DUNS番号が無く、NTTの電話帳にも記載が無い場合、電話料金の支払いの請求書などの別の書類の提出後から長い場合2週間程度見ておく必要があります。