Webセキュリティ。これから必須になってくるhttps通信

なぜhttps通信が必須になってきたのか

元々クレジット決済や銀行取引、個人情報の送信など、極めて秘匿性の高いものはhttps通信になってることが前提でした。
http通信だと通信内容が暗号化されていないので、データを覗き見ることができてしまうためです。
ところが、ここ最近一般的なWebページでもSSL化(https通信)がより重要になってきました。

1つはGoogleの検索結果の順番が、httpsのページの方が優先されるということ。
検索エンジン経由でのサイト訪問者が多いのであれば重要ですね。

そしてもう1つはiPhoneアプリのApp Transport Security(ATS)。
簡単に言えば、iPhoneアプリが通信するときhttps接続が必須になります。

この流れを受けて、世の中のほとんどのホームページはhttps通信がmustになる時代が
そう遠くないうちにやってくるかもしれません。

SSL証明書って・・何?

SSL証明書を発行してくれる会社から購入します。(1~2年の期間限定な証明書)
それをWebサーバーに配置すれば、ブラウザ ←→ サーバー間の通信が暗号化される(https通信となる)わけです。
発行してくれる会社で著名なところだと、VerisignやGlobalSignなど、多数あります。

SSL証明書の種類

証明書を買うにあたっては、種類があり、それによって価格も違ってきます。

* DV(ドメイン認証)証明書
運営しているWebページのドメイン情報から発行される証明書です。
個人でもOKで 一番安く簡単に取得できますが、そのWebページがちゃんとした企業が運営してるサイトかまでチェックしません。
そのためデータを盗み見る目的のフィッシングサイトとかで悪用されてしまうこともあります。
これは 「https通信=安全な会社が運営している」 と誤解してしまう人をターゲットにしています。

* OV(企業認証)証明書
個人では取得できない証明書で、SSL証明書を発行する会社が、Webページを運営してる会社の組織情報をチェックしたり
電話確認をしてから発行される証明書で、なりすましのWebサイトではないと証明することができるものです。

* EV証明書
OV証明書よりもさらに厳格にチェックした上で発行される証明書です。
この証明書が使われたWebサイトにアクセスすると、ブラウザのアドレスバーが緑色に変わり、
信頼された会社が運営しているとひと目でわかるようになっています。

前述のGoogle検索順位, iPhoneアプリ通信でのhttps通信が目的であれば、
上記の3種類のどの証明書を使っても問題ありません。

どの会社の証明書を買えばいいの?

もしレンタルサーバーやVPSでWebサイトを運営しているのであれば、
手っ取り早いのは そのサーバー会社が発行してくれたり斡旋してくれるものを利用することです。
場合によっては費用が平均より高いこともあるかもしれませんが、
その代わり取得方法や設定手順がマニュアル化されています。

最近では無料でSSL証明書を発行してくれるサービスもあります。
ただ通常証明書の有効期限が1~2年なのに対し、無料のは3か月程度なものもあるので注意が必要です。
また先に挙げたEV証明書などには対応していません。