「SSLとは」「認証局って何？」など11の疑問に数百社のSSLを設定したエンジニアが約6500字で分かりやすく答えます

1、2、3，4、、、、最初は数えていましたが、あまりにも数が多く途中でやめました。私がSSLを設定した企業の数です。少なくとも数百社分の設定しました。はい、本当です。中には大企業のもあり、慣れている作業とはいえ緊張することもあります。

この記事では、そんな経験で培った様々なことをまとめます。SSLに関する色々な疑問や都市伝説的なことまで、実体験を踏まえお伝えします。約7000文字の分量ですが、パート分けしてあるのでもちろん部分読みでも役に立ちます。この記事の内容を丸暗記すればなんちゃってSSLコンサルになれること請け合いです。

この記事の対象者は「すでに導入はしたけど、SSLってつまり何なの。なぜ必要なの？ぶっちゃけよく分からない」と思っている人で、具体的には以下のような人を想定しています。ここまで軽いのりですが、内容は実体験に基づいていたって真面目です。数百社のSSLを設定して得た経験を15分くらいで学べます。ではいきましょう！

この記事の対象者

• SSLの導入を検討している企業の情シスや中小企業の経営者
• Webの運用コストを下げたいと考えているウェブ担当者
• SSLの知識をつけたいWebディレクターやフロントエンジニア
• 自社のウェブサイトに突然SSLを設定するよう指示されて困惑している情シス
• SSLの設定はできるが、ウェブ運用の現場の実態をよく知らないエンジニア

目次

目次は上のほうが一般的な内容で、下にいくほどエンジニア向きの内容となります。

• 証明書の値段の違いは何か？
• 認証レベルの違いって何？
• そもそもSSLって何？
• なぜGoogleはSSL非導入サイトに警告を表示するようにしたのか？
• 認証局が直接発行する証明書とさくらインターネットの証明書の価格の違いは？
• 「SSLがSEOに効く」は本当か？
• Web制作会社にSSL設定を依頼したら見積もりが5万円だった。これは妥当か？
• 複数のサブドメインの証明書はどう対応すればいいか
• 無料証明書を自動で更新したいぜ
• 証明書のブラウザ普及率には注意が必要
• 認証局による証明書の違いはあるのか？
• なぜ証明書には期限があるのか？

https://ssl.sakura.ad.jp
さくらインターネットのSSLのページを見ると安い証明書だと990円から、高いものだと54,450円まで値段に幅があります（2020/11/4時点）。さらにレンタルサーバーであれば無料の証明書まであります。いったい何が違うのでしょうか？この疑問をさくらインターネットに問い合わせたところ、あっさりした答えが返ってきました。

それは人件費の違いです、と。

証明書の発行にどれだけ人の手がかかっているか、その違いでしかないのです。たしかに実際に設定すると分かるのですが、2,970円のラピッドSSLは、証明書の発行は簡単かつ1時間程度です。使っているサーバーに認証ファイルを設置するだけで自動で発行され、発行する側の人手はかかっていないことが分かります。

一方同じ認証局の証明書でも2万円くらいのものがありますが、それは人が書類審査をしてから証明書を発行するタイプです。しかし発行される証明書そのものはまったく同じと、さくらインターネットさんが回答してくれました。

また、10万円を超す証明書では、発行元の暗号化技術の不備が原因で情報が流出した場合には損害を担保する、といった内容がついてくるものもあります。つまり保険つきです。こういった内容が証明書ごとの値段の違いを生んでいます。高いものにはそれなりの理由があるのです。

続いて認証レベルの違いについてですが、これは上の値段と関係してきます。認証にはEVレベル、OVレベル、DVレベルの3つがあります。

一般的なWebサイトや中小企業のコーポレートサイトならDVで十分でしょう。狙われやすい大企業のウェブや、個人情報をたくさん扱うコーポレートサイト、決済のあるECサイトなどであればOV以上が適切でしょう。

極めて厳格なEV認証

EVは銀行のように本当に厳格さが求められる場合に使用されます。私はEVの証明書を扱ったことがありますが、その認証はとても厳格で、書類審査はもちろん担当者や会社代表者の在籍確認が電話であり、発行までに時間がかかりました。費用ももちろん高額です。一般のサイトにはまったく不要でしょう。

SSLは通信を安全に行うための暗号化技術です。暗号化されていない通信は他者がのぞき見ることができるのに対して、暗号化されていればそれなりに安全に通信できます。例えば、ECサイトでクレジット決済することを考えてみましょう。

あなたが家でネットショップをする際、カード情報や注文情報が電気信号となってあなたの家のパソコンやスマートフォンからECサイトのサーバーに送信されます。この間の通信が暗号化されていなかったら、悪意ある誰かが通信をのぞき見てあなたのカード情報を盗むかもかもしれません。そういうことを防ぐためにSSLが導入されます。

3〜4年ほど前までは、SSLを導入するウェブサイトはECサイトやコーポレートサイトの問い合わせフォームくらいでしたが、すべてのページにSSLを導入する「常時SSL」が業界標準となりました。それはなぜでしょうか？

https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html
表向きには常時SSLをgoogleが推奨した理由は、上記のgoogleの公式の記事にあるよう「安全のため」とあります。表向きには、です。

常時SSLの目的が単に安全のためであるならば、SSLを導入するのはECサイトや銀行サイトなど、安全性が求められる一部のウェブサイトだけで十分なはずです。それがなぜ一般のウェブサイトにまでSSL導入が求められるようになったのか？

ここからは私の推測です。googleはネットを少しでも健全なものにしたいという思惑があります。彼らにはその動機がある。なぜなら、検索広告を主な収入源とするgoogleとしては、暗号化されていないWebサイトが氾濫し情報を盗まれるような事態が多発すると「インターネットは怪しいから使いたくない」と考える人が増え、そういう人はインターネットを利用するのをためらうようになるかもしれない。ネット利用者が増えるのを妨げられれば、結果的にgoogleの広告収入が増えないという事態を招きかねません。

少しでもgoogleの検索結果から暗号化していないウェブサイトを排除して、インターネットの世界を健全なものにすることで、またブラウザでSSL未導入サイトの警告を出すことで、「ネットの世界は安全ですよ、安心してインターネットを使ってください（そのほうが我々は儲かるからね）」と考えたのでしょう。

まずは下の表を見てください。さくらインターネットの提供するSure Server EV for sakuraとサイバートラストのSure Server EVです。表は各会社のサイトにあります。
https://ssl.sakura.ad.jp/specification/
https://www.cybertrust.co.jp/sureserver/lineup/

さくらインターネット

サイバートラスト

価格を比較すれば分かる通り、認証局が直接発行する証明書とさくらインターネットから購入する証明書の価格に差がありますが、これは何が違うのでしょうか。ここも推測ですが、私の考えを書きます。この推測には自信があります。

結論を先に書くと、同じ証明書だけど値段は違うと言えます。

例えば認証局の1つとしてサイバートラストという会社があります。この会社はSSLの証明書の発行だけをしているわけではなく、大企業や官公庁を対象としてサーバーの保守やネットワーク管理などのサイバーセキュリティ業務をメイン業務としいて、技術力や経験もある会社です。当然こういった会社にサーバーの構築や保守を依頼するとすごく高いです。証明書の発行は彼らの業務の中の1つのオプションでしかありません。

一方、さくらインターネットは大衆サービスを展開していて、格安とも言えるサービスから高額なサービスまで幅広く対応していて、一般的な認知度も高い。さくらインターネットは認証局の代理店として証明書を販売しており、数をさばけるから安いのです。

サイバートラストのような専門性の高い大手企業はエンジニアの人件費が高く、リテラシーの低い一般の客の問い合わせなど対応しません。でも証明書は売りたいという思惑があります。一方さくらインターネットは証明書を自分たちで発行するより、すでに証明書を扱っている他社から仕入れたほうが安くできると考えた。この両者の利害が一致したのでしょう。

サイバートラストは認証局として「うちは面倒な問い合わせ対応はしないけど証明書だけ提供します。さくらインターネットさんには安く卸すから、問い合わせはそちらで対応してね」と考え、大衆向けのサービスを展開しているさくらインターネットは受付対応では強みがあるから協業した。こういった構図が私には見えます。推測が違ったらすみません。

ウェブ担当者や企業の経営者はSEOとなると目の色が変わりますよね。私も学生から社会人になりたての頃、アフィリエイトで月20万円稼いでいた時期があり、その気持ちは分からないでもないです。

「SSLがSEOに効果的」というもはや都市伝説的な言説は本当かどうか。これについて実体験をお伝えします。

ある地方で歯科医院をしている顧客がいるのですが、その歯科医院が目の敵にしているライバルがいました。そのライバルのサイトは、ターゲットとするキーワードで検索すると、それまでずっと顧客サイトと2位と3位の間で競っていました。顧客からすると文字通り目の上のたんこぶ的な状況が続いていたのです。この時点で両歯科医院のウェブサイトにはSSLは導入されていませんでした。

ある日、私が顧客サイトにSSLを導入したところ、その顧客サイトがライバルサイトより上に表示され、それがしばらく続きました。その後、ライバルサイトもSSLを導入し、元の争う状態に戻ったということがありました。

この経験からすると、質において極めて拮抗した2つのウェブサイトがある場合、わずかな要素としてSSLの導入がSEOの順位に影響する可能性はあると言えるかもしれません。しかし、SSL導入が事実上の標準となった今、この可能性について考慮する必要はもはやありません。SEOで順位を上げたくば、独自に優れた情報発信を定期的にコツコツすることです。

まず、その5万円に証明書の費用が含まれるかどうかを確認してください。ここでは証明書が別費用か、またはごく一部という前提で話しを進めます。

そして仮に証明書の費用が1000円で、設定費が4.9万円だとしましょう。この場合は、費用が高いかどうかは一概には言えません。というのも設定費用はエンジニアの人件費をベースにするのが基本なのですが、それは会社により異なるからです。高いオフィスを使っている会社ならその費用なども上乗せされます。

こういった諸々のケースがあるので、3万円でも高い場合もあれば、5万円で安い場合もあります。参考までに、さくらインターネットに証明書のサーバーへのインストールを依頼すると、設定費用は2万円です。ただし、httpからhttpsへの転送など細かい調整はしてくれません。

はっきり言えるのは、1ドメインのSSLの設定に対して、10万円なら少し高いかもしれないし、20万円ならほぼ確実に盛っている、ということです。

サーバーのルート権限がありさえすれば証明書のインストールはエンジニアならできるので、もしあなたが依頼した相手の見積もりが不服なら、他の人に依頼すればいいでしょう。ランサーなどのクラウドソーシングサイトで依頼すればいくらでもSSLを設定してくれる人は見つかります。また、依頼相手との付き合いを大事にしたいとか、信頼できる相手だから少し高くても依頼したいなどの意図があれば、その相手に依頼すればいいのです。

設定費用5万円が妥当かどうか一概には言えません。

複数のサブドメインを使用している場合はワイルドカードの証明書というものがあり、これを使うと便利です。a.hoge.com、b.hoge.comのように複数のサブドメインを1つの証明書でカバーでき、数の制限もありません。

さくらインターネットのワイルドカードの証明書の場合、なぜかクレジットカードによる決済ができず、銀行振り込みのみとなっていて証明書の発行に時間がかかります。更新で期限が迫っているなどの場合は注意が必要です。

いままでの証明書はすべて認証局の発行する有償プランを前提としてきましたが、世の中には無料の証明書も存在します。レンタルサーバーを利用している人なら、無料の証明書を使っていることでしょう。AWSでウェブ運用をしているなら、AWSの提供する無料の証明書があります。

他にLet’s Encryptという無料の証明書もあります。3ヶ月ごとに更新が必要なのですが、設定で自動更新することも可能です。エンジニア向けの記事ですが、詳しくはLet’s encryptをサーバーにインストールしてcronで自動更新すればSSLはずっと無料にまとめてあります。

無料の証明書は品質が大丈夫なのか？という疑問があるかもしれませんが、多くの人が使っていて、また私も3年以上使っていますが、今のところまったく問題ありません。将来問題が起こりそうな際は、またその時に対応を考えればいいでしょう。一般のブログや中小企業のコーポレートサイトなどであれば、無料の証明書は十分選択肢に入ります。

3年以上前のことで古い情報なのですが、SSLを設定しているにもかかわらずブラウザで警告が出てきたのを見たことがあります。サーバーを調べると設定には何も問題がない。では何が問題かと言うと、その証明書は特定のブラウザで未対応だと判明しました。証明書を使う場合どのブラウザに対応しているかは事前に確認しましょう。

結論を書くと、一般のウェブサイトが認証局の違いを気にする必要はありません。卑近な例で恐縮ですが、あなたの乗るタクシーの車がトヨタ車だろうと日産車だろうと、大抵は気にしないですよね。どちらのメーカーの車であっても安全に走りますし、一方の品質が特別よくて、もう一方の品質がすごく悪いなど考えられないでしょう。安い車だと事故が多いわけでもない。

証明書を通常利用するにあたって、認証局ごとの違いを一般のウェブサイトが気にする必要はないですが、もしその細かい点を気にするのならば、各認証局に直接問い合わせるといいでしょう。担当者が専門的な説明をしてくれると思います。当然エンジニアでないとその理解は難しいでしょう。

なぜ証明書には期限があるのか？

これについてはさくらインターネットのエンジニアの方の書いた記事があるので、それを読むといいでしょう。
何度も短縮し過ぎ？！SSL証明書の有効期間がどんどん短くなる理由とは？