2011/06/07 
今やサーバ証明書を提供する会社は乱立気味である。10年以上前であれば、SSLと言えばベリサイン、と言ってもいいくらいベリサインの独壇場であった(といってももちろん他の会社もあった)。今ではGeotrust、RapidSSL、セコム・・・など多くの会社がサーバ証明書を発行している。では、どの会社が発行する証明書がよいのか、それを検証してみよう。
ここでいうSSLサーバ証明書は、大きく二つに分類されると言っていいだろう。それらは下記の二つだ。
- 企業実在証明書
- ドメイン所有証明書
どちらも同じサーバ証明書なのだが、格付けや意味が全く違うのだ。違いは主にその発行過程にあると言ってもいいだろう。
企業実在証明書だが、こちらはまず前提条件として「法人」しか取得できない(個人での取得は不可)。そして発行申請の際、必ず法人の登記簿謄本が必要となり、ドメインの所有権も確認される。つまり「このドメインで使用されているSSLは、ドメイン所有者である法人の実在も確実である」というお墨付きがつくのだ。
一方のドメイン所有証明書は、法人でも個人でも取得可能で、登記簿謄本の提出もない。所有者の確認がなされないので、ドメインの所有権も確認されない。ただしドメインを事実上運用していることが確認される(例えば特定のメールアドレスを作成してそこにメールを送信する等)。
これらから、前者の証明書のほうが信頼性が高いことは言うまでもない。ただ現実問題として、一般ユーザはこのような違いがあることを殆ど知らないと言ってもいいだろう。大抵のウェブ制作会社も全く理解せず「SSLが必要ですよ」と言っているご時世だし、システムに携わる者でさえ理解していない場合も多く、当然といえば当然だ。サーバ証明書が導入されていないSSL通信を実行しようとすると大抵のブラウザはエラーダイアログを出すが、そのダイアログを表示させないために証明書が必要、と本当に本末転倒な考え方をする人もいる(表示されるエラーの意味を理解していない)。
信頼性の高さは前者だが、価格面では後者のほうが圧倒的に安い。前者の例で言えばメジャーなベリサインであれば、1年間8万5千円だ。しかし後者は数千円から購入することが出来る。しっかりとした技術者から見れば、わかってしまうのだ。
ちなみに、この証明書発行会社、一見すれば誰でもできそうだ。「私が証明します」と言ってしまえばいいのだから。しかしそれだけではいけない。証明書発行会社が、本当に信頼できるかどうかを証明しなくてはいけないからだ。詳細は割愛するが、信頼できる証明書発行会社の一覧は大抵の場合、ブラウザにあらかじめ登録されているのだ。だからブラウザに登録されていない証明書発行会社の証明書がサーバから提示された場合、先程のエラーダイアログが表示されていまうことになる。
証明書発行会社のブランディング、実効性も考慮に入れる必要があることがおわかりいただけると思う。