SSL認証の認証レベルの話

昨今、独自ドメインSSL化が常態化が進んできていますが、SSL認証には3段階の類型があります。

  • DV(ドメイン認証)
  • OV(組織認証)
  • EV(拡張認証)

の三つになります。

 

DV=ドメイン認証

ドメイン認証は、名前の通りですがドメインの認証になります。しかし、ドメインの存在自体は、アクセスしていれば通常は「存在する!」ということになりますし、この認証ではドメインの運営者の実在情報などを含みません。だからこそ簡単に設定できるということにもなります。

ドメイン自体はほぼ誰でも取れるわけですからドメイン認証もサーバーが対応していれば簡単に取れるということになります。

では、ドメイン認証が意味がないかというとそうでもなく、暗号化通信の保護はされるため。最低限このドメインとの通信は暗号化されているんだな!という点で意味があります。

アドレスバーのセキュリティ表示がグリーン色になります。

送信フォームなどを利用する際には必須かもしれません。(※ちなみに私が管理している非SSLサイトの送信フォームからも求人応募などが来ていますが、もしかすると非SSLの警告で応募を止めている人もいるのかもしれません)。

 

OV=企業認証

企業認証は、ドメインの運営者が企業として実在することを第三者(認証局)が認証する形態になります。本来SSL認証が、WEBサイトの安全性を認定しようとするとするとき、そのサイトの運営者が実在する誰々(企業)であるということが重要でした。(話がそれますが、文書における信用の基礎が、文書の内容ではなく文書の作成者=作成名義に置かれることと同じですね)。

企業認証では、認証情報に運営元の企業が表示され認証の信頼性が高くなると言えます。当然、申請手続きおいても運営元の会社の情報資料の提出が義務付けられ審査にかかります。手続きにおいては、帝国データーバンクやNTTタウンワークの情報も照会されるようです。

OV認証では、アドレスバーのグリーン表示に加え、企業情報も表示されるようになります。

EV=拡張認証

EC拡張認証(SSL(TLS)サーバ証明書)は、OV(企業)認証の情報に加えさらに商号登記の証明書も認証したより厳格な認証照明となります。

企業認証と後から登場したドメイン認証に違いが一見するとわかりにくいことから、より厳格な第3の認証レベルとして策定された経緯があるようです。

 

 

どのSSL認証を取るべきか?

このようにSSL認証といってもレベルが違います。

どの認証が必要かはサイトの性質やコスパなどを考えて決定することになると思います。

そもそも企業が一般に使用している「co.jp」といった属性ドメイン自体にも、取得に企業情報を提出が必要なため、一定の企業認証的効果があります。

料金的には、一般のレンタルサーバーでは、一番簡易型のドメイン認証(DV)を無料サービスにしている場合が多いです(XSERVER/LOLIPOP/iCLUSTA+など)が、対応していないサーバー会社ならドメイン認証からも別途料金がかかってきます。 企業認証(OV)の維持費用は、一般の業務サーバーでは年間で5万~10万ぐらいです。コンシューマー向けレンタルサーバーでは5万以下のところもあります。企業の存在認証ですので、1回とればそのまま使えるものではなく、毎年の申請手続きが必要となり、料金も毎年かかります。

私見では、そこそこの企業なら企業認証ぐらいは入れておけばいいのでは?と思いますが、全国的な営業をしている企業でも「http://」なサイトは多数実在しているのが現状です。ちなみにTOYOTA自動車、NISSAN、大林組、伊藤忠商事の公式WEBサイトはDVでした(2018年8月確認)。ほとんどのコーポレートサイトはDVレベルです。世界的な企業でもこの認証問題はあまり浸透していないんだなあという印象です。
 

 
法人向けレンタルサーバー「iCLUSTA+」の詳細はこちら

 
 
マルチドメイン、サブドメイン
メールアドレス、FTPアカウント、全て無制限!


 

 

 

 この記事の閲覧数:1,653 ビュー

コメント