SSL（HTTPS化）にもレベルがある？その価格と認証、セキュリティの違いとは。

こんにちは、Cocoaウェブディレクターの中島です。

昨今、ウェブサイトやお問い合わせ、クレジットカード入力フォームなどの暗号化が大きなウェブサイトのトレンドとなっています。
SSL化（通信の暗号化）、サイトのHTTPS化を進められたウェブ担当者の方も多いのではないでしょうか。

それもそのはず。情報を盗み見られてしまう！セキュリティやコンプライアンスだという問題もあるのですが、昨年GoogleがSSL化を推し進めようと検索順位に差を設けることや、Chromeをはじめとするブラウザで警告表示を出す、と発表したからです。

GoogleChrome、HTTPS非対応サイトにアクセス時に警告表示へ

検索順位に影響する、世の中全体が情報漏洩に敏感になってきている、とあれば企業はこぞってサイトやフォームのSSL化を進めます。
2017年は、多くのサイトがSSL対応化されると予想されています。

さて、そんな中ですが、実はSSL通信にも3つのレベルがあることはご存知でしたでしょうか？

それを知るためには、まずSSL通信の仕組みについてざっくりと理解する必要があります。

SSL通信のおおまかな仕組み

いびつな図で恐縮ですが、大まかにいうとこんな感じになります。

ユーザーはHTTPSというセキュアなウェブサイトの閲覧によって情報をSSL証明書に基づいた暗号化で送信します。

受け取るサーバーは暗号化された情報を、SSL証明書に基づいて暗号を解除します。

暗号化の方法、および解除方法は中間に立つSSL認証局がSSL証明書という形で発行します。

この3者方式によってSSL通信は成り立っています。

SSL証明書には３つのランクがある

通信の安全性のレベルはどのSSL通信も変わりません。

証明書のランクが影響するのは、通信している先の相手が正しい相手かどうか、です。

例えば、詐欺師などの悪い奴がSSL証明書を取得していたらどうでしょうか。いくら情報を暗号化して送ったところで、意味がないですよね？

以下がSSL証明書の３つのランクになります。

・DV　（Domein Validation）　★ランク

ドメインが存在しているかどうか、Whois情報などによってドメイン取得者が公開されているかどうか

・OV　（Organization Validation）　★★ランク

DVに加えて、電話などによる企業が実在しているかどうかの確認

・EV　（Extended Validation）　★★★ランク

OVに加えて、さらに登記簿などの書類提出が必要

ドメインの.com < .jp < .co.jp < .or.jpの信用レベルの関係性にも似ているかもしれません。

つまり、同じSSL通信だとしても、証明書のレベルによってユーザーのリスクは異なってくるという事です。

３つのレベルがユーザーに与える違いとは？

★ランクのDVと★★ランクのOVには、見た目上の違いはありません。
今のところ、Googleが検索順位に影響を与えると表明もしていません。（今後はわかりませんが）

しかし、最高レベルのEVは違います。

例えば、以下のサイトを見てみてください。

シマンテック

三菱東京UFJ銀行　ログインページ

この2つのページは、最高レベルのEVで証明書を発行しています。

企業名と、企業の国がしっかりと表示されているのがわかります。これは各ブラウザ共通です。

一方で、OVを取得しているページを見てみましょう。

トヨタ自動車

Chromeでは保護された通信、とは出ていますがそれ以外は何も出ていません。
Chrome以外のブラウザでは鍵アイコンがちょこっと出るだけです。

これだけでずいぶんと見た目に差が出るのがわかっていただけたと思います。

導入するのに差はあるのか

先ほどお伝えした提出書類や電話確認の労力のほかに、各レベルの導入には大きな価格差があります。

例えば、上記の表はGMO社が運営するHETEMLのSSL価格表です。

クイック認証SSLがDV、EV SSLはその名の通りEVです。
実に7倍近い価格差があります。

また、最近よく見かける「格安SSL」をうたうサービスのすべては、このDV（ドメイン認証）レベルであると考えてよいと思います。

2017年2月現時点では、Googleはこの認証レベルによって検索順位を変えるとは宣言していません。
が、Googleが目指すセキュアなインターネットの世界には、いずれこのSSL認証レベルが影響してきてもおかしくはないと思います。

月額1万円程度のSSLコストをどう捉えるのか。
SSLもただ導入すればよい、という時代ではなくなってきているのかもしれません。