- 小坂 淳
- 株式会社環
- 東京都
- ウェブ解析士マスター
対象:ITコンサルティング
SSLサーバー証明書は必要か?
こんにちは。環の小坂です。
業界人とは思えない疑問かもしれませんが、
ウェブサーバーのSSLサーバー証明書って必要なんでしょうか?
そう思ったのは
・ウェブからの情報漏えいの話題が出るたびに見ているのですが、
サーバー証明書がなくて漏洩という話を聞いたことがない。
・むしろサーバー証明書を持っているところから漏洩している。
・そしてその漏洩理由はサーバー証明書とは関係ないところ。
という傾向があるように思います。
SSLというのはフォームなどにおけるセキュリティを強化するものです。
たとえ話としては
・普通のページは塀も屋根もない道路。
立ち入り禁止と書いてあっても入ろうと思えば入れる。
・SSLは塀が高く、検問もあってなかなか入れない道路。
でも絶対に入れないわけではない。
(よく言うのは99%保護)
・以前は48bit,128bitとわかれていたが
(ブラウザの対応の問題があるため)、
今は128bitが主流。
という話があります。
そしてサーバー証明書は
・認証会社がそのサーバーを利用しているのはA社で、
SSLがしっかりかかっていますよと証明するもの。
・それに補償がついていたり、SSLを強化する仕組みもある。
です。
ということは
・そんなに重要な情報を扱わない場合はSSLは不要。
・重要な情報を扱う場合でも独自にSSLを用意する必要は無く、
CPIなどのサーバー会社は用意していますが、
サーバー会社のSSLで十分。
・認証が必要な場合もその目的に合わせてサービスを選べばよく、
高いサービスである必要はそもそもない。
と思います。
なので、私が顧客に聞かれるときも
サーバー付属のものを薦めたり、グローバルサインなど比較的安価なサービスを薦めています。
環はCPIの代理店です。
環はグローバルサインの代理店です。