※当記事はLet’s Encryptを批判する内容ではありません

みなさんこんにちは。

つい先日、我が家に不動産の営業さんがきた訳ですが、日曜日の19時という非常識な時間に来たので丁重にお断りし、お帰りいただきました。

もちろん、お帰りいただいた一番の理由は非常識な時間に来たことですが、その会社自体の知名度が低い(というか知らなかった)というのもその一つです。

知名度があるからその企業は良い、悪い、と判断するのはあまりにも愚考ではありますが、とはいえ判断材料の一つとして、知名度を気にしてしまう私です。

でも、それは完全に感覚や経験での判断になり、個人差があると思うんですよね。

そこで、私がよく活用する「ホームページだけで定量的に知名度以外で企業の信用度度合を判断できる方法」をご紹介します。

---

なぜホームページで”ヤバさ”が判断できるのか

それは判断材料として使用する「SSL証明書」の発行方法に起因しています。

順を追って説明しますので、まずはSSL証明書についてです。

---

SSL証明書(サーバ証明書)とは?なぜ必要なのか?

SSL証明書については、今回の趣旨とは異なりますので詳細な説明は省きますが、簡単にいってしまえばホームページの信用度が記載されている情報みたいなものです。

ホームページは「このサイトは信用できるよ」と自分で名乗れる(=当事者がSSL証明書発行)ことができる一方で、信頼された第三者機関から「このサイトは信用するに値する」と判断してもらう(=認証局でSSL証明書発行)こともできます。

もちろん、信用度をあえて記載しない、という手段もありますが、検索エンジン大手のGoogleさんが「そのようなホームページは検索結果の上位には表示しないよ」と言っていること、

さらに、Webブラウザ(SafariやEdge、Google Chrome等)側で、信用度の記載が無いサイトを表示すると、URLバーに警告が表示されるよう、デフォルトで設定されています。

主にこの2つの理由から、ホームページを公開する際には信用度を記載する訳です。

※詳しい方は「サーバ – クライアント間の通信経路の暗号化が信用度(=SSL証明書の発行)を記載する最たる理由だろとお気づきかと思いますが、説明の都合で省きました。ｽﾝﾏｾﾝ。

---

SSL証明書の発行方法は

上記の通り、SSL証明書の発行方法は2種類ある訳ですが、そこに大きな違いがあります。

それは、発行に際して費用が発生するか否かです。

具体的に説明しますと、SSL証明書を当事者が発行する場合、ほぼ「Let’s Encrypt」というサービスを使用します。

The best way to use Let’s Encrypt without shell access is by using built-in support from your hosting provider. If your hosting provider offers Let’s Encrypt support, they can request a free certificate on your behalf, install it, and keep it up-to-date automatically. For some hosting providers, this is a configuration setting you need to turn on. Other providers automatically request and install certificates for all their customers.

https://letsencrypt.org/getting-started/

と記載があるように、無料で発行ができるのが唯一にして最大のメリットな訳です。

ちなみに有効期間は発行から3ヶ月ですネ。

それでは、認証局にSSL証明書の発行を依頼するとどれくらいの費用が掛かるか見てみましょう。

以下は、前職でお世話になったGMOグローバルサインの場合です。

一口にSSL証明書といっても、実在確認方法によって3種類存在するわけですが最安でも3万円台後半、どれを選択しても有効期間は発行から1年だけと、なんだか費用や手間がかかる割に有効期間も1年だしあんまり旨みががなくね、と感じる方もいるはず。

であれば、世界中の企業がSSL証明書を当事者が発行(Let’s Encryptを使用)しそうな訳ですが、そうではないんですよね。

---

なぜ費用をかけてまで認証局でSSL証明書を発行してもらうのか

これは高級ブランドと同じで、費用がかかるからこそその地位が確立されるからです。

つまり「無料で発行できるのにも関わらず、わざわざ有料でSSL証明書を発行した金がかかったホームページ」という事になります。

正直、SSL証明書は意図した操作をしない限り、いち利用者が中身を見ることは絶対にないので、Let’s Encryptでも全然いいわけです(暗号強度レベルも変わらんし)。

しかし、そのような見えないところにもしっかりお金をかけている(費用をかけることに価値があると認識している)という点で、自ずとその企業の本質、さらには財政状況も見えてくるわけです。

---

SSL証明書確認方法

必要なのはWebブラウザのみで必要なソフトやスキルは全くありません。

しかし私が試した限りではiPhoneでは無理で、androidでないとSSL証明書の確認ができませんでした。PCならMacのSafariでも確認可能です。

今回はWebブラウザシェア率No1のGoogle Chromeを例に確認方法を記載します。

【WindowsPCの場合】

1, SSL証明書を確認したいホームページを開き(今回はYahoo Japan)URLバー付近の鍵アイコンをクリックします。

2, 表示された項目内の一番上「この接続は保護されています」をクリックします。

3, 「証明書は有効です」をクリックします。

4, 別ウィンドウが立ち上がり「発行者」がSSL証明書発行者であり、Yahoo Japanはサイバートラストという認証局ででSSL証明書を発行したことが確認できました。

【Androidの場合】

1, SSL証明書を確認したいホームページを開き(今回は情報通信研究機構、通称「NICT」)URLバー付近の鍵アイコンをタップします。

2, 「証明書情報」をタップします。

3, 別ウィンドウが立ち上がり「発行元」がSSL証明書発行者であり、NICTは先ほど例に挙げたグローバルサインという認証局ででSSL証明書を発行したことが確認できました。

---

Let’s Encryptだとどのような表示になるのか

なにを隠そう、当ブログはLet’s Encryptを使用してSSL証明書を発行しました。

【WindowsPCの場合】

【Androidの場合】

以上のように、「R3」と表示されていればLet’s EncryptでSSL証明書を発行していることになります。

また、それ以外にも「発行日」を＋3か月した日付が「有効期間」であることもLet’s Encryptの特徴ですね。

---

まとめ

もちろんLet’s Encrypt=信用がない、ではありませんので、あくまで判断材料の一つに過ぎないわけですが、まともに情シス部門が機能している企業において「Let’s EncryptでSSL証明書を発行しよう！」とは絶対ならないです。これは断言できます。

(いち企業となれば認証局にSSL証明書発行を依頼する場合、内部で経費処理が発生しその手続きが面倒なのか、また、価値を見いだしていないのかは不明ですが)

なんなら、内部システムでもわざわざ認証局で発行したSSL証明書を使用してますよ。

炎上覚悟になりますが、Let’s Encryptを使用しているホームページの企業は気をつけろ、ということが伝われば幸いです。

※お気づきかもしれませんが、冒頭の会社はLet’s Encryptでした。