IT空間

IT空間
レンタルサーバー

無料SSLサービス Let’s Encryptは安全なのか調べてみた

by ItSpaceBiz029

SSLに対応していないウェブサイトは、ブラウザで「安全ではない」とか「この接続は保護されていません」といった表示がされるようになりました。

ブラウザ上のメッセージ

また、SEO的にもSSL未対応のサイトは検索順位において不利に働くみたいな流れになってきています。

ということで、SSLの対応が急がれるところですが、複数サイトを運営している場合だと、レンタルサーバーのオプションなどで、SSLを導入するにはちょっとコストがかかりすぎます。

そこで、最近よく見かける無料SSLサービスの「Let’s Encrypt(レッツエンクリプト)」の存在が気になるところですが、タダのサービスってどうなの?と思う方も多いんじゃないでしょうか?

セキュリティに関する部分だけにタダでも使えなかったり、何か裏があったりするんじゃないかと邪推してしまいそうです。

Let’s Encryptってどこがやっているの?

Let’s Encryptを運営しているのは、Internet Security Research Group (ISRG)というカリフォルニア州を本拠地とする公益法人です。

この組織にはIT企業を中心にたくさんの企業がサポートをしていて、有名なところでは、モジラ財団、CISCO、Facebook、JIMDO、Automatticなどがあります。

なぜ、Let’s Encryptは無料で使えるの?

Let’s Encryptは以下の6つの理念のもとに運営されています。

  • 無料(Free)
  • 運営の自動化(Automatic)
  • 安全(Secure)
  • 透明性(Transparent)
  • オープン(Open)
  • 助け合い(Cooperative)

世界中の人々が安全な環境のもとインターネットを利用できることを目的としていることと、自動化を取り入れて低コストでSSLを提供できるよう努めています。

Let’s EncryptのSSLって信頼できるの?

Let’s Encryptを運営している組織は、信用して全然問題ないと言えますが、Let’s Encryptの証明書はオンラインだけで完結してしまうドメイン認証型(DV)だから、企業で使っているところってどうなの。。。みたいな意見もあるようです。

ここでSSLの認証型について簡単に説明しておきます。SSLは第3者機関の認証局という所から証明書を発行して、それを元にセキュアな(安全な)通信をやりとりします。

SSLのしくみ
SSLの仕組みをざっくりと説明するとこんな感じです。

で、この認証局が発行する証明書には3つの種類があります。

  • ドメイン認証(DV)
  • 実在証明型(OV)
  • 実在証明拡張型(EV)

上から順に説明しますと、DVはドメイン名が正しいかどうかを認証します。下の2つ(OVとEV)はドメイン名が正しいかの認証に加えて、本当に会社が実在するかも認証します。

OVは会社に電話をかけるなどの確認をして、その会社が実在することを証明し、EVになるとさらに厳格になって、登記簿謄本の提出などが求められます。

Let’s Encryptで発行される証明書はドメイン認証型のみになります。実在証明型を希望される場合は、他社のサービスを有料で申し込む必要があります。

ということで、企業のサイトなどでは「実在証明」されたSSLじゃないと、信頼性がうんぬんかんぬん・・という意見があったりしますが、通信が盗聴などされずに安全に行えているという点では、DVもEVも全く同じで違いはありません。

それに、会社の実在が確認されたことが、その会社が詐欺などを働かないという保証になるわけではありません。

これらのことから、あなたのウェブサイトの安全性を高めるためにLet’s Encryptをフルに活用するべきだと思います。第一無料なので、なにも障壁はありませんしね。

じつは、このホームページもLet’s Encryptを使用していますが、これまでに特に問題なく使えていますし、下記のようにサイトのSSLを調査するツールで確認したところA判定と出ました。

当サイトのSSLリポート

Let’s Encryptが簡単に設定できるレンタルサーバー

VPSなどのRoot権限のあるサーバーがあれば、Let’s Encryptから証明書を発行できますが、一般の方にはこれは敷居が高いです。

最近は、コントロールパネルでクリックするだけで、すぐにLet’s Encryptの無料SSLが設定できるレンタルサーバー屋さんが増えてきましたので、これを利用するのがおすすめです。

エックスサーバー

私の知る限りでは、いち早くLet’s Encryptを導入したレンタルサーバーで、設定も簡単にできておすすめです。

月額900円(税抜)から、高速・多機能・高安定レンタルサーバー『エックスサーバー』

さくらインターネット

さくらインターネットは年間たったの5,000円(スタンダードプラン一括払い)で使えるので、コストパフォーマンスは非常に良いレンタルサーバーです。

あえて、難を言えばコントロールパネルが若干わかりにくいところですが、サーバーのレスポンスは良いのでとても満足しています。

さくらインターネット
さくらのレンタルサーバ スタンダードのお申込みはこちら(公式ページ)

カゴヤのWordPress専用サーバー

あまりメジャーではないかもしれませんが、京都の本社があるカゴヤさんはかなりおすすめです。

WordPressサイトに特化したサーバーなので、表示の高速化やモリサワフォントが無料で使えたりと、WPユーザーには嬉しいメリットがたくさんあって、なんと月額400円からレンタルできます。

カゴヤのWordPress専用サーバー
「レンタルサーバーのカゴヤ・ジャパン」

Related posts

エックスサーバーでBasic認証のアクセス制限をかける方法

ItSpaceBiz