常時SSL化にはサーバー証明書が必要である。
サーバー証明書… 第三者機関である「認証局」が、「申請者にドメイン名の管理権限があること」や「申請元の組織・企業が実在していること」を証明するもの
サーバー証明書には、3つの種類がある。
- ドメイン認証
- 企業認証
- EV認証
ドメイン認証 < 企業認証 < EV認証 の順に認証レベルが上がり、より高い信頼性を示すことが出来る。
サイトの信頼性を向上出来る一方で、価格も上がっていくため、サイトの目的に合致した認証方式を選ぶ必要がある。
ドメイン認証
申請者が、証明書に記載されているドメイン名の管理権限を所持していることを証明する。
キャンペーンページなどの運用期間が限られているページや、社内向けWebサービス、個人Webサイトなどを常時SSL化する場合に適している。
メリット
- 低コストで発行スピードが速い
デメリット
- Webサイトを運営する組織・会社の実在性を証明するものではないため、個人情報を取り扱うには不向き
企業認証
申請元の組織・企業が実在していることを証明する。 ドメイン認証よりも厳格に審査されるため、Webサイトの信頼性を高めることが出来る。
個人情報の入力が必要になる会員制サイトや、コーポレートサイトなどに適している。
メリット
- サイト訪問者に信頼性をアピールできる
デメリット
- ブラウザによっては、認証レベルの区別がつかないことがある(ドメイン認証と同じように表示される)
EV認証
企業認証よりもさらに審査が厳しいため、非常に高い信頼性を示すことが出来る。
メリット
- アドレスバーに組織名が表示されるため、ブランド力を高めることができる
デメリット
- 高コスト
- 発行までに時間がかかる
必ずしもサーバー証明書を発行しているからと言って安全とは言い切れない。
常時SSLが標準になるということは、フィッシングサイトなどの詐欺サイトも常時SSL化しているということになるからだ。
今後は、安価で取得しやすいドメイン認証ではなく、一定のコストを必要とし、認証局による審査もある企業認証やEV認証を取得出来るかが重要になってくる。