ボクココ

サービス開発を成功させるまでの歩み

Web サービスにおける SSL の選定

ども、@kimihom です。

f:id:cevid_cpp:20180513134708p:plain

先日、自社のサービスを EV SSL へ適用したので、それに至った経緯と SSL について思っていることを記す。

SSL 化の流れ

もはや、今時のサービスで SSL(HTTPS) 化していないWebサービスはほとんどなくなった。ましてや企業毎に重要な情報を保存するケースの多い SaaS などでは HTTPS 化は必ずしなくてはならない対応の一つとなっている。個人のページや 会社HP など、 HTTP でも特に指摘されることがなかったようなサイトでも、SSL を利用することが重要になってきている。SSL を適用していないページの検索順位が下がってしまたり、ページ閲覧時に Chrome から警告表示されてしまうためである。

その流れの中で、もはや私たちが HTTPS を使わない理由が存在しない。今では、 Let's Encrypt のような無料の SSL も登場してきている。最近では Let's Encrypt は ワイルドカードドメイン (*.mysite.com) も HTTPS 化できるようになって、更に SSL を入れない理由がなくなった。

SSL の汎用で出てきた課題と解決

この SSL にはドメイン認証と企業認証そしてEV認証の3種類がある。細かい区別については省略するが、SSL としての信頼性やブラウザでの表示が少しずつ異なる。ただし、ドメイン認証と企業認証の SSL の違いをページ訪問者が見分けるのは困難である。両者を見分けるには Chrome の場合は URL 隣の保護された通信をクリックし、さらに「証明書」の項目をクリックしないと識別できない。さらに、その SSL が企業認証の SSL かどうかは 発行元を調べないといけない。

Let's Encrypt がもたらした「誰もが SSL を使える」という利点は、ウェブがよりセキュアになったという点では歓迎すべき点である。しかし、それと同時にフィッシングサイトのような悪意のあるサイトも HTTPS を簡単に発行できるようになったことを意味する。また、従来は SSL を使っているサイトという時点でセキュリティに対する意識をユーザーに表明することができたが、これからは HTTPS というだけではその意識をユーザーに持ってもらうことはできない。

今までは "ページがHTTPS" ということに対して得られていた一部の利点が、これからは通用しなくなってきているのである。

そこで、本記事のメインテーマでもある EV SSL である。EV SSL を使えば、URL の隣に企業情報を表示することができる。

f:id:cevid_cpp:20180513130632p:plain

ページに訪れた時点で、企業として正式に発行された SSL が使われているということをユーザーに伝えることができる。これにによって、先ほどのフィッシングサイト対策や、セキュリティに対する意識を SSL で表明することができる。実際、この EV SSL の発行には、SSL発行企業からの厳密な審査があり、これが通らないと SSL が発行されないくらい厳密な SSL である。

日本では、金融機関といった本当にセキュリティが大切になってくるページにしか EV SSL が使われていないイメージを持っている方も多いかもしれない。しかし、海外では EV SSL が一般のサービスに使われるようになるまで浸透してきている。例えば以下のようなサービスが EV SSL を使っている。

EV SSL の考慮すべき点

EV SSL を使う場合、マルチドメインを適用できないという重要な性質がある。最近はユーザー毎に独自にサブドメインを持たせるやり方が流行っているが、この方法を採用した時点で、 EV SSL 化は不可能になる。

サブドメインをたくさん持っている大きなサービスも、同様に1つ1つのドメインに対して EV SSL を発行しなければならないため、SSL にかかる費用が無視できなくなって採用していないケースが見受けられる。

確かに、サブドメインでそれぞれのドメインを区別する方法にもメリットがあるので、ドメインの運用に関しては慎重になるべきだ。本当にサブドメインの運用をすべきかどうかとの天秤となるだろう。

EV SSL の今後

誰でも HTTPS 化ができるようになった時代の先で、 EV SSL の重要性がさらに増していくことは間違いない。

私としては、今後は Webサービス であれば EV SSL を使うのが当たり前 くらいなレベルにまでなっていくと思う。今時の Webサービス では決済情報を外部の Stripe や Paypal 等に任せているとはいえ、決済情報を入力することは当たり前になってきている。そうした重要な情報を入力する必要がある Webサービス が、Let's Encrypt などの無料の SSL とほとんど区別のつかない状態であっては、ユーザーに不安を与えてしまう原因となる恐れがある。

海外の Webサービス がどんどん EV SSL を採用しているという風潮の中で、日本でも EV SSL の価値が高まっていくことだろう。

終わりに

今回は Webサービス における SSL の選定について記した。

ぜひこの記事に共感し、ワイルドカードドメインの Webサービス でない場合には、EV SSL を採用してほしい。日本でも、EV SSL の認識が広まっていけば、益々ページを訪れるユーザーのセキュリティ意識も高まっていくと思う。 それこそがフィッシングサイトの撲滅、さらにはWeb の安全化につながっていくと考えている。