- 会員限定
- 2018/09/27 掲載
実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい?
グーグルが主導するHTTPS化の流れ
2018年夏、ラスベガスで毎年開催されるBlack Hat USA。今年の基調講演は「セキュリティ界のプリンス」の異名をとるパリサ・タブリス氏が行った。パリサ氏はこの中で、ChromeのHTTPS対応について何度も語る場面があった。パリサ氏は、グーグルでChromeの開発やProject Zeroの指揮をとる立場にもあり、グーグルは、すべてのWeb通信は暗号化されるべきと、同社のWebブラウザChrome 68から、HTTPS通信に対応していないサイトは危険なサイトとして警告文を表示するようにしている。
世界のWebブラウザシェアで50%を超えるChrome(全バージョンの合計:statecounter調べ)が、HTTPS非対応のサイトを明確にネガティブに分類したことで、あらゆる業界がサイトの常時HTTPS対応に迫られている。
日本でも、2018年に入りメガバンク、省庁のサイト、大手ポータルサイトなどはいち早く対応を済ませている。中小企業や個人商店のサイトなどはサイトごとのばらつきが多く、若干遅れているが、Edge、Safari、FirefoxなどもHTTPS通信以外を安全でないとする方向に動いている。企業の規模にかかわらず、サイト内の全ページがHTTPS化されていないと、今後、多くのWebブラウザに表示さえ拒否されるようになるかもしれない。
問題は移行コストだが無料認証局も登場
企業などがサイトを常時HTTPS化対応にするには、認証局にサーバ証明書を発行してもらう必要がある(正確な表現ではないが、詳細は後述する)。大企業では2017年ごろからサイト内の全ページのHTTPS化を進めてきており、各認証局(原則として民間企業がビジネスとして運営している)も対応に追われている。企業においては、HTTPS化(SSL通信)していたログイン画面、カード情報や個人情報を入力する画面以外も改修しなければならない。ヤフーは、大きなプロジェクトチームを立ち上げ、全社に協力を仰ぎつつ1年という期限を切って移行を成功させた。中小企業や個人商店のサイト(自分でサイトを構築・管理している場合)も、必要な作業は同じだ。全ページの通信をHTTPSプロトコルによる暗号化通信に対応させ、サーバ証明書を取得する必要がある。
中小企業で問題になるのは、サーバ証明書の発行と維持にはコストがかかることだ。通常は、年間数万円から数十万円の発行手数料がかかるが、HTTPS化の動きを受け、認証局も、さまざまなプランを作っている。無料でサーバ証明書の発行、インストール、更新などを行っている「Let's Encrypt」という認証局も存在する。Let's Encryptは、HTTPS化を支援・促進する意味もあってサービスを提供している。
ECサイトポータルが認証局を運営するところも
サイトの維持にかけられるコストに制約がある個人商店や中小企業で、Let's Encryptの証明書を利用する動きが広がっている。なお、ネット通販に大手のモール系サイト(楽天など)を利用している商店などは、ドメインが運営会社のサブドメインとなる。そのため、ECモールの運営会社が、必要な証明書を取得して、会員サイトのページをHTTPS化していくことになる。無料の認証局については、もうひとつのアプローチもある。たとえば、国内でECサイト構築やネット通販支援ビジネスを展開する「Eストアー」は、クロストラストから認証局の事業譲渡を受け、無料のサーバ証明書を発行している。主に自社ソリューションの顧客向けだが、証明書の発行は誰でも受けられるという。今後の動向を見据えて、サイト構築のインフラの一部として認証局を買収した形だ。
Eストアーでは、クロストラストから事業譲渡されるにあたって、自社でWebTrust認証を受けている。この認証を受けるのもコストがかかる。通常は、ビジネスとして認証局を運営する前提なのだが、採算がとれるのかという疑問もある。
【次ページ】HTTPSがサイトのデフォルトになると、サーバ証明書はこれまで以上に意味がなくなる?
関連コンテンツ
PR
PR
PR