1. /
  2. SSL

SSL

SSLも値上げの波が!?

5月1日からデジサートのSSLが約7%値上げすると発表があった。

値上げ対象は
デジサートブランドの証明書
・セキュア・サーバ ID全製品(OV/EV)
・コードサイニング証明書全製品(OV/EV)
・ドキュメントサイニング証明書全製品
・セキュアメールID
・認証マーク証明書(VMC)

ジオトラストブランドの証明書
・クイックSSLプレミアム(DV)
・トゥルービジネス ID全製品(OV/EV)

とSSL関連の商品は値上げとなります。

公式の発表だと値上げの理由は
経費と開発コストの増大に伴って、製品価格を改定
となったとのこと。

デジサートの発表内容

今までSSL全体としては値上げはあまりされてきませんでしたが、
デジサートが先陣を切って値上げをしたことで、
グローバルサインやサイバートラストなど他の認証局も値上げする可能性があります。

SSLの更新や新規購入予定がある方は早めに購入したほうがいいかもしれません。

企業実在証明(OV)タイプのSSL証明書について

OV(Organization Validation)タイプのSSL(Secure Sockets Layer)は、ウェブサイトのセキュリティを強化するための暗号化プロトコルで、ウェブサイトのオーナーの身元を確認し、認証することに焦点を当てています。

OVタイプのSSLは、ウェブサイトのオーナーに対して身元確認を行います。具体的には、認証局がウェブサイトのドメイン、組織名、住所、電話番号、およびオーナーの名前などの情報を確認します。これにより、訪問者はウェブサイトが信頼できるものであることを確認することができます。

OVタイプのSSLは、ウェブサイトのオーナーが運営するオンラインストアや金融機関、メディアサイトなどのビジネスサイトに適しています。これらのウェブサイトでは、オンライン取引が頻繁に行われるため、セキュリティに対する高い要求があります。

OVタイプのSSLは、ドメイン認証タイプのSSLに比べてより高い信頼性を持ち、ウェブサイトの訪問者にとっては信頼できるウェブサイトであることを示すための緑色のアドレスバーなどの視覚的な表示を提供する場合があります。

しかし、OVタイプのSSLは、より高い認証プロセスを必要とするため、ドメイン認証タイプのSSLよりも高価で、設定に時間がかかる場合があります。

また、OVタイプのSSLは、ウェブサイトのオーナーが情報を提供する必要があるため、個人情報保護に関する法的義務を考慮する必要があります。そのため、オンラインプライバシーポリシーやGDPRなどの規制に従う必要があります。

OVタイプのSSLは、セキュリティに対する高い要求を持つビジネスウェブサイトにとっては必要不可欠なものです。顧客が安心してオンラインで取引できるようにするために、ウェブサイトのオーナーは、信頼できる認証局からOVタイプのSSL証明書を購入し、ウェブサイトに設定することが重要です。

最近では、Google ChromeやMozilla Firefoxなどの主要なウェブブラウザが、OVタイプのSSLを推奨する方向に進んでおり、OVタイプのSSLを設定することは、ウェブサイトのSEOにも影響を与える可能性があります。

総合的に考えると、OVタイプのSSLは、ウェブサイトのセキュリティを強化するために非常に重要なツールであるといえます。ウェブサイトのオーナーは、自社のビジネスニーズに合わせて適切なSSL証明書を選択することが重要です。



ドメイン認証タイプのSSLについて

ドメイン認証タイプのSSL証明書は、Webサイト運営者にとって手軽なSSL証明書の一つです。このタイプの証明書は、ドメインの所有者であることを確認することで、SSL証明書を発行するため、手続きが簡素化されています。

ドメイン認証タイプのSSL証明書は、低コストで手軽に導入できるため、個人ブログや小規模なWebサイトでも導入が可能です。また、発行までの手続きが簡単で、数分から数時間程度で証明書が発行されるため、即時にサイトのセキュリティを向上させることができます。

ただし、ドメイン認証タイプのSSL証明書は、セキュリティ面においては最も低いレベルの証明書となります。ドメインの所有者であることしか検証されないため、Webサイトの正当性や企業の信頼性に関する情報は得られません。そのため、高度なセキュリティを求められる金融機関や企業のようなWebサイトには、より高度なタイプのSSL証明書が推奨されます。

ドメイン認証タイプのSSL証明書を取得するには、証明書発行局に申請する必要があります。多くのSSL証明書発行局がドメイン認証タイプの証明書を提供しており、価格やサービス内容には差があります。申請前に、発行局の信頼性やサポート体制、価格などを比較し、最適な証明書を選択することが重要です。

ドメイン認証タイプのSSL証明書は、手軽に導入できるため、個人ブログや小規模なWebサイトに最適なSSL証明書と言えます。ただし、セキュリティ面においては最も低いレベルの証明書であるため、より高度なセキュリティを求めるWebサイトには、より高度なタイプのSSL証明書が推奨されます。

2020年9月よりSSLが1年しか取得できなくなる

Appleが2020年9月1日以降に発行されるパブリック証明書は398日以内の期限を持つものに制限することを発表しました。
これはApple独自で行う対策となり、safari以外のIE、Chrome、Firefoxは関係がない。
しかしApple製品全体(iOS、iPadOS、macOS、watchOS、tvOS)に影響があると考えると
認証局は2年ものの証明書を発行するのはリスクでしかなくなる。
また他のブラウザ追随するのは間違いないので、今後は証明書は1年のみとなるだろう。

2年以上の証明書がそれでも欲しい場合、2020年8月までに発行されたものは
規制の対象に入らないので、それまでに発行することをおすすめします。
しかし、利用期限内になにかしらの理由でSSLの再発行が必要となった場合、
もしかしたら期限が1年に減ってしまうということがあるかもしれないので、
今後の動向に注意した方が良さそうです。

また今後は証明書の最大の期間が398日となるので、更新を行うタイミングも注意が必要です。
今後どうなるかわからないですが、現状のように更新の際に30日のボーナスがつく場合、
有効期限1ヶ月前に更新をすると損をする可能性があります。
余裕を持って2ヶ月前に更新など行うと1ヶ月ほど短い期間のSSLが発行されてしまうので、
注意が必要です。

今年の9月からの変更なので、今後の各SSL認証局の対応に注視する必要がありそうです。

 

 

 

 

Chromeだけ「保護れされていない通信」と表示される

IEやFirefoxだと鍵マークがちゃんと表示されるのに
Chromeだけ「保護されていない通信」と表示され
SSLが入っていないようになってしまう。
今まではこんなことなかったのに・・・・。

それはChromeにTLS 1.0/TLS 1.1の廃止に備えたUI変更があり
今後古いSSL通信のTLS 1.0/TLS 1.1は使えなくなる前段階の
警告となります。

https://forest.watch.impress.co.jp/docs/news/1210387.html

「Chrome79」で“Not Secure”(保護されていない通信)ラベル、
「Chrome81」で全画面警告が追加される

対応策としては、今利用しているサーバの仕様が問題となります。
TLSのバージョン変更は簡単にはできず、OS自体の乗り換えが必要があり
CentOS5以前のもの利用している場合は、早期にサーバ移転を検討してください。

chrome81の公開予定は2020年2月とアナウンスされており、
時間はもうあまりない状況です。

※chrome81は2020/4にリリースされましたが、TLS問題はコロナの影響でパスされた模様。当面警告のみとなる見込みだが、遮断されるリスクはあるので、やはり早めに対策はしたほうが良さそうです。

「保護されていない通信」と表示されてしまう方はお急ぎください。

 

 

 

 

SSL証明書は乗り換えることができるって知ってました?

あまり知られていないですが、携帯のキャリア乗り換えのように
SSLを乗り換えることができるんです。

例えば、シマンテックのセキュア・サーバIDからグローバルサインの
企業認証SSLに乗り換え

しかも乗り換えることによる期限の縮小とかなく、通常の更新同様に
期限を引き継くことができるんです。手数料もありません。
単純に乗り換えたいSSLの認証局に、今使ってるSSL証明書を見せる
だけでいいんです。※認証局により若干審査違いはあります。

乗り換えを対象としたキャンペーンを実施してる場合があるので、
タイミングが合えば検討してみるのもいいと思います。

※ダメ元でLet’s Encryptからのクイック認証SSLへ乗り換えで申請をしたら申請が問題なく通りました。なんと1年の費用でLet’s Encryptの3ヶ月+証明書の1年+ボーナス1ヶ月の16ヶ月の証明書が発行されました!!

EVSSLの組織名表示がなくなるらしい

EVSSLが導入されたWEBサイトを表示すると企業名がURLの横に表示されてます。

URLのところにサイトの運営主体(企業名)が表示されフィッシングサイト対策に
有効であると認証局も勧めていました。しかもURLが緑色になり視覚的にも
わかりやすいと。セキュリティ意識の高い企業や金融系のサイトで多く採用されます。
(スマホだと運営主体は表示されない)

しかしGOOGLEの調査でEVSSLはたいしてフィッシングサイト対策にならないといった
研究結果が発表となり、先日アップデートされたChrome77からは企業名の表記や緑色への表示が
なくなり、他の証明書と同様に鍵マークのみの表示となりました。
※ios12のsafariでは、すでに企業名の表記はなくってます。

トップシェアのブラウザでこの対応は、EVSSLにとってかなりの痛手でしょう。

EVタイプのSSLは他の証明書と比べると費用がダントツに高いです。
それだけ審査項目が多く、高いのでフィッシングサイトでは
利用されづらいのが特徴だったの。。。。。
まだIEやFirefoxでは緑色、企業名の表示が可能ですが、
時期に消える可能性があります。

今後、EVSSLの導入を検討している場合、2年での取得ではなく
1年での取得を検討した方が良さそうです。ご参考まで

TLS1.2未満は2020年以降利用できなくなるかもしれない

昨今決済システムのセキュリティ要件でTLSのバージョンがどうとか
連絡がきてませんでしょうか。
そもそもTLSって何?SSLと何が違うの?
私も正直ハテナがいっぱいだったので軽くまとめて見ました。


■TLSってなに?
TLSとはSSL通信の規格で、昔はSSL3.0まであったのですが、根本的な脆弱性が見つかり
新しくできたのがTLSという規格です。なので実際はSSL通信ではなくTLS通信となるのですが、
SSLの名前が今も残っています。


■TLS1.0/1.1が利用できなくなる
決済システムなどを利用しているサイトの方なら決済会社のメールで連絡が来ていると思いますが、
現在TLS0.xでの接続はNGとなっていますが、今度はTLS1.0/1.1も利用できなくなります。

2018年現在についてはTLS1.xでの通信は問題なく利用可能です。しかし主要ブラウザのロードマップでは
2020年にはTLS 1.0と1.1でが利用できなくなる予定です。そのためTLS 1.0と1.1を利用しているサイトは
表示できなくなります。早めに1.2への対応をし1.0と1.1を無効化することをお薦めします。

★TLS1.2 に対応しているOS
———————————-
Windows 7 以上
MacOS X 10.9 以上
iOS 5.0 以上
Android 5.0 以上
———————————-

★TLS1.2 に対応している ブラウザ
———————————-
Google Chrome 30 以上
Firefox 27 以上
Safari 7 以上
Internet Explorer 11 以上
Edge すべてのバージョン
———————————-


ブラウザーだけでなくサーバも対応する必要があります。

■共有サーバーを利用の場合

共有サーバーを利用している場合、サーバ会社のポリシーでTLSのアップデートができず
サーバーの移転を薦められることがあります。
個人的な見解ですが、TLSの問題は結構前から言われてたことのようですので、
ほぼ放置しているようなサーバ会社と契約するのは、今後、また要件が変わった場合、
再度移転をしなければならなくなる可能性が高いので、サーバー移転をされる際は、
十分に業者を選定することをおすすめします。


■専用環境のサーバを利用の場合

CentOS5/RHEL5以下を利用している場合、サーバの移転が必要となるかもしれません。
いろいろな事情により移転が難しい場合があるかもしれません。検索すると
どうにか対応する方法はあるみたいなのですが、あまりオススメはできません。
セキュリティに関する内容なのでこの機会にリプレースを検討することを
オススメします。

「保護されていない通信」と赤字で警告がでる

2018年10月リリース予定のChoromeでSSL化されていないサイトにアクセスすると
保護されていない通信」と赤字で表示されるようになります。

これまで「保護されていません」と黒字で表示れていたのが
今度は赤字になり、ユーサーが認識しやすくなります。

べつに個人情報を入れるサイトでもないので、関係ないと思っている方もいるかと思いますが、
赤字で「保護されていない通信」と表示されるとかなり印象が悪く見えます。
業界の流れがSSL化なので安いのでいいので、入れとくことをおすすめします。

IE、Firefoxではいままで通りとくに変更はないのですが、
chormeのシェアが50%を超えている現在、無視はできないかと思います。

SSLを入れることでメリットもあります。

・SEO効果(諸説有)
・サイトの信頼性
・表示速度の高速化(http2に対応している必要有)

保護されていない通信と表示されたくない場合の対処方
————————————————-
1.利用しているレンタルサーバがSSL化できるか確認

2.SSLサーバー証明書を購入

3.SSLサーバー証明書をサーバーにインストール

4.ソースを確認しリンク先がすべてhttpsに変更
(ワードプレスを利用の場合、プラグインで一発変換)
————————————————-

作業目安:ドメイン認証型のSSLなら1日

SSLの申請の際、CSRとか秘密鍵とか聞いたことのないフレーズが出てきます。
はじめはホントわけがわかりません。
初めての申請の際は、電話対応ができるSSL販売店がおすすめです。

ワイルドカードやマルチドメインの存在を知ってますか?

複数のサイトを運営していると、今回のchromeの対応で
SSLの費用がボディブローではなく、顎にもろにヒットしてくる。
申請も都度やらなきゃいけないとかで案外めんどくさいかったりします。

どうにかSSLをまとめられないかってところで、
ワイルドカードやマルチドメインというものがあります。

■ワイルドカード
複数サブドメインサイトを1枚の証明書にまとめることができます。


aaa.example.com
bbb.example.com
ccc.example.com
ddd.example.com
eee.example.com

と5つのサブドメインを運用していた場合、

通常では各サブドメインで証明書を取得しなきゃいけないので、
5回申請をする必要があるけど、ワイルドカードの場合、
[ *.example.com ]で取得することで、1枚のSSL証明書で
全部のサブドメインに利用することができます。

私の計算では、4つ以上サブドメインを運用している場合、
ワイルドカードの方が安くなりそうです。

■マルチドメイン
マルチドメインはワイルドカードと違って、サブドメインだけではなく
別ドメインでも、すべてが同じ組織で運営されていたら、1枚のSSL証明書に
まとめることができます。
しかし利用できるのは企業実在証明以上となります。


aaa.example.com
bbb.example.jp
ccc.example.co.jp
bbb.example.biz
aaa.example.net

グローバルサイン 企業認証SSL(定価)の場合

通常だと
企業認証SSL × 5サイト分 で ¥299,000
(¥59,800)

かかるのがマルチドメインを利用すると

企業認証SSL × マルチドメイン4ドメイン分 で ¥199,000
(¥59,800)    (¥34,800×4)

と10万円近くかわってきます。

さらにSSLの代理店で購入した場合、もっとお安く購入することができます。
代理店を使って賢く購入することをオススメします。

SSLサーバ証明書 価格比較

(だって直接買っても代理店経由しても、ものは一緒なんだもん)