ビジネスで、無料のSSL証明書 Let’s Encrypt を使用するべきか

こんにちは、システムエンジニアの大貫です。

2年前に無料のSSL証明書について、触れましたが、セキュリティ性の高いHTTPSでの通信を普及させることを目的として「Let’s Encrypt」による無料のSSL証明書の発行ができるようになりました。

その後の傾向を調べてみましたが、なんと「Let’s Encrypt」は無料で発行できるということもあってか、フィッシングサイトでも年々SSL化が、多く利用されるようになり、フィッシングサイトの実に50%くらいが、SSL証明書を導入しているとの記事がありました。

49 Percent of Phishing Sites Now Use HTTPS https://t.co/XgDotDVVkg #cybersecurity

— PhishLabs (@PhishLabs) December 6, 2018

今や、SSL証明書がないと、chromeなどのブラウザ上も警告が表示されるので、安全なサイトというよりは、SSL証明書が入っていて、常時SSL化されているというのが、当たり前の時代になっています。

フィッシングサイトも通常のサイトも含めて、常時SSL化されていて、初めて、単なるエラーが表示されていないサイトというイメージなのかもしれません。

そう考えると、「Let’s Encrypt」を否定するわけではありませんが、信用を得たいビジネスで、フィッシングサイトで多数使用されている無料の「Let’s Encrypt」を使用すること自体、あまりオススメは出来ません。
（個人での使用は、むしろ大いに使用するべきだと思います）

さらに言うと、2019年1月の記事を見ると「Let’s Encrypt」では、発行前に、Google セーフブラウジングによるドメインチェックを行っていたそうなのですが、それを廃止するとの記事も見つけました。

記事によると、「Let’s Encrypt」 はドメイン認証による証明書であり、ドメイン認証証明書は、サイトとその訪問者との間のデータ転送を保護する目的でのみ使用される証明書なので、Google セーフブラウジングによる確認は行わないことにした」というようなことが記載されておりました。

確かに、無料のSSL証明書を含めた「ドメイン認証」タイプのSSL証明書は、単なる暗号化する目的で使用されるものなので、理にかなっているといえば、理にかなっているのかもしれませんが、セーフブラウジングでアラートが出るようなサイトにもSSL証明書を発行するのはいかがなものかと思ってしまいます。

しかし、一方では、「Let’s Encrypt」が言っていることも正しく、無料のSSL証明書なのだから、最低限暗号化できることを保証すれば問題ないとも取れます。

逆を言えば、ビジネスで、信頼性をもたせたいなら、SSLサーバー証明書発行の際に組織情報の審査や実在性確認などを、公的機関で証明してくれる、「企業認証SSL証明書」や、「EV SSL証明書」を使用するのが当たり前の時代になってきているのかもしれません。

弊社でSSL証明書をセットアップする際は、どのSSL証明書であっても、純粋な作業費しか頂いておりませんので、正直なことを言うと、どのSSL証明書をお客様が選択されても、利益は変わらないのですが、お客様のサイトの信頼を守るためにも、状況に応じて、企業認証などのSSL証明書をオススメさせていただきます。