常時SSL化するときは「証明書の盲点」に気を付けよ常時SSL化を実現するサーバ証明書の選び方

Webサイト全体をSSL化する「常時SSL化」。実はその必須要素となる「SSLサーバ証明書」の種類によって安全性を損ねる可能性がある。適切な選び方を見ていこう。

2016年10月19日 10時00分 公開
[TechTargetジャパン]

 アンケートフォームやログイン画面だけでなく、Webサイト全体をSSL/TLS暗号化する「常時SSL化」が広まりつつある。Googleによる暗号化ページに対する検索エンジンにおける掲載順位の優遇や、実質的にHTTPSを必須とする次世代プロトコル「HTTP/2」の登場などは、常時SSL化のメリットが知られたことによるものだろう。

 技術や環境の変化を鑑みて、常時SSL化を図ろうとしている企業も少なくない。ただし注意してほしいのは、SSL暗号化通信に必須となる「SSLサーバ証明書」の選定方法だ。WebサイトのHTTPS化ができればどの証明書でも安全性は変わらないと考えているのであれば、待っていただきたい。

 SSLサーバ証明書には幾つかの種類があり、仮に暗号アルゴリズムが同じでも安全性や信頼性が異なる。それを知らずに、コスト重視で証明書を選ぶと、安全性を損ねる恐れもある。もちろん、Webサービスの品質を低下させないためには、認証局のサービス品質や信頼性も重要であることは言うまでもない。

 そこで本稿では、SSLサーバ証明書の選び方や使い分けについて、詳しく解説しよう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:合同会社シマンテック・ウェブサイトセキュリティ
アイティメディア営業企画/制作:TechTargetジャパン編集部