[1]オレオレ証明書ではない、無料のSSL証明書が流通するって本当?

[1]オレオレ証明書ではない、無料のSSL証明書が流通するって本当?

SSL証明書は無料であるべきと立ち上がった Let's Encryptプロジェクト

 

ITのサービスは、例外なく低価格化・無料化が進んでいるようです。今年の11月18日に、米国のセキュリティ関連の非営利団体ISRG(Internet Security Research Group)から、2015年夏以降、SSL証明書を誰でも無償で簡単に取得できるようにする、という発表がありました。「Let’s Encrypt」というプロジェクトです。ISRGは、電子フロンティア財団(EFF)やアカマイ・テクノロジーズ、シスコシステムズ、モジラなどインターネット関連の企業がスポンサーになっていて、日本でいうNPO法人とは違うようです。ITProやCNET Janpanなど、多くの国内WEBメディアが取り上げています。

 

SSL証明書は、ブラウザに登録されていないと、認識されない。

Joe’s SSL市場は、大丈夫でしょうか、とよく聞かれます。この1か月の間、色々調査してみました。まず、暗号化の機能はあるが、なりすましのために誰でも認証局をつくれる、いわゆるオレオレ証明書ではないことはすぐにわかりました。

SSL証明書が何故こんなに高価なのか、またどうして取得に時間がかかるのか不思議に思われる方も多いかと思います。ISRGもそのような問題意識のもとに、インターネットの健全な発展のためにそのようなプロジェクトをおこしたということです。そのような視点は、Joe’s SSL市場でも共有しています。

過去にセキュリティ的な不具合で閉鎖を余儀なくされた認証局もある。SSL証明書の発行は責任がともなう。

 

しかしながら、SSL証明書の発行は、フィッシングやサイトのなりすましを防ぐために、ブラウザに登録されているような権威ある認証局が、申請に対して審査をして発行するものです。必然的に、SSL証明書の発行には責任がともないます。SSL証明書が誤って発行されたために、サイト訪問者が詐欺などの被害にあった場合に弁償する、といったことも想定しています(実際には、特にJoe’s SSL市場で販売されているような証明書では、そのような犯罪は生じていません)。したがって、無償でSSL証明書を発行するとしても、そうしたリスクを背負わなければならないため、発行する認証局としてはコストがかかります。

 
 

ただ、そうしたことを理由に、証明書を高価な値段で提供している認証局が多いのも事実です。ブランド価値を高めて、価格が値崩れしないようにして利益を確保しているといっても、過言ではないと思います。Joe’s SSL市場は、各種のSSL証明書を低価格で販売する草分け的存在で、当初から、そうした認証局の営業の方から、「そんなに安く売らないでください」とよく言われていました。

 

今回の調査の結果、SSL証明書の中でも、ドメイン認証という審査を経て発行されるサービスのみが該当することがわかりました。申請者が正当なサイトの所有者であることを確認する手順によって、証明書は以下の3種類にわ分類されます。

 

1. whois情報(ドメインの所有者の情報が自己申告で記載されたもの)の内容が正しいことを前提に、そこに記載されたメールアドレスに、メールで申請が実際に行われたかを確認するドメイン認証の証明書
2. 帝国データバンクなどに記載された企業データベースに記載された電話番号に電話して、証明書の発行の申請が実際に行われたかを確認する実在認証の証明書
3. 実在認証の中で最も厳しい審査を行い、URLが緑で表示されるようにするEV証明書

 

実在認証では、帝国データバンクまたはNTTの電話帳などの別情報を参照して、電話をかけて申請があったかどうかを確認する

ドメイン認証よりは実在認証、実在認証よりはEV証明書の方がサービス価格が高くなっています。シマンテック(旧ベリサイン)、セコム、サイバートラストの3ブランドは、実在認証もしくはEVの証明書しか提供していません。逆に、グローバルサイン、ジオトラスト、Comodo、Thawteは、ドメイン認証と実在認証の両方を販売しています。

 

やはり、ドメイン認証の証明書の発行枚数の多い、グローバルサイン、ジオトラスト、Comodoには少なからず影響があるものと思われます。逆に、ベリサインやサイバートラストなど実在認証の証明書を提供しているところは、証明書の利用者が多くなり、それだけ使われるようになるので、その中で実在認証を利用したいと考える利用者も含まれているので、むしろ追い風とみているかもしれません。

 

また、ドメイン認証の証明書でも、自社製品について、それなりのブランド力があるのだから、無償配布が行われても大丈夫であるとみているかもしれません。

URLがグリーンになるEV証明書

 

この中で、グローバルサインは、ドメイン認証(クイック認証SSL)と実在認証(企業認証SSL)を審査の違いだけで同じルートの証明書を提供しているので、何らかの対応がなされる可能性があります。もちろん、シールをクリックすると、その企業名が表示されますが、そうしたことに気が付かないサイト訪問者がほとんどであるように思われます(シマンテックなら、ベリサインとジオトラストというように明確にわかれている)。また、グローバルサインのクイック認証SSLは、ドメイン認証の中でも最も高価で、しかも日本国内からの申請だけ価格を高くして販売しています(米国サイトから申請出来ないようになっている)。

 
 

Joe's SSL市場は、中立な立場で皆様を応援しています

他方、考えたくないシナリオとして、無償配布の証明書で、フィッシングなどの事故が多発し、信用を失い、やはり有償版でないとビジネスには向かないとか、そのような方向にすすむ可能性もありえます。これまで、SSL証明書を提供してきた認証局でも、セキュリティ的な問題が生じないよう(ブランド力を下げないよう)努力してきました。不特定多数から申請された証明書について、まったく問題なく証明書を発行できるものでしょうか。既存の認証局は、お手並み拝見、むしろ差別化ができるのでチャンスと見ているかもしれません。

 

Joe’s SSL市場では、皆様からのお問い合わせ・ご相談をお待ちしています。中立な立場から、助言しています。よろしくお願いします。