WordPressで自社サイトを構築する時のSSLサーバ証明書の選び方について
- columbusproject
- Photo:
- 2020-05-26
WordPressで構築したWebサイトやサービスをhttps対応にするためにはSSLサーバ証明書が必要になります。 利用しているサーバー、レンタルサーバーによっては無料でhttps化できることもあるため、とりあえず利用されている方もいらっしゃるのではないでしょうか。 しかし、企業や組織のWordPressの場合、無料のSSLサーバ証明書はおすすめできない理由があります。
今回はWordPressで自社サイトを構築する時のSSLサーバ証明書の基礎知識や選び方についてご紹介します。
なぜ、SSLサーバ証明書が必要なのか
まずはなぜSSLサーバ証明書が必要なのかチェックしましょう。
通信の暗号化、https、SSL通信の基礎
WordPressでWebサイトを構築する時にドメインを取得しただけですとhttp通信となります。http通信は暗号化されておらず、決して安全とは言えない通信方式です。 httpsのsはSecureのsであり、https通信にすることでサーバとユーザー間の通信が暗号化されるのでセキュリティ性の向上が期待できます。
SSLサーバ証明書によって、まずは通信が暗号化されるということ、https通信になるということを覚えておきましょう。
企業や組織としての実在証明
SSLサーバ証明書は企業や組織としての実在証明となります。セキュリティレベルの段階によってはブラウザのアドレスバーに企業名や組織名を表示することも可能です。 インターネット上はデータによるやりとりなので、どれが本物なのか、信頼できる発信元なのか区別することは難しいと言えます。 SSLサーバ証明書によって、企業や組織としての実在証明となること、信頼性や安全性の担保になるということを覚えておきましょう。
なりすましや盗聴、データの改竄への対策
SSLサーバ証明書によって通信が暗号化され、企業や組織としての実在証明することで、なりすましや盗聴、データの改竄を防ぐことができます。 通信が暗号化されることで盗聴やデータの改竄を防止、実在証明によってなりすましを防ぐ形です。 ただし、無料のSSLサーバ証明書ですと通信の暗号化はできても実在証明としては弱い可能性があります。場合によってはなりすましされてしまうことがあるので注意が必要です。
WordPressの用途や目的に合わせたSSLサーバ証明書の選び方
次にSSLサーバ証明書の選び方についてご紹介します。
無料と有料のSSLサーバ証明書の違い
無料と有料のSSLサーバ証明書の違いは無料のSSL証明書はメールアドレスのみの本人確認となるため、暗号化通信ではあるものの実在証明としては弱いという点です。 なりすましされてしまう可能性がゼロとは言えないので、企業や組織としては無料のSSLサーバ証明書を使うべきではありません。
SSLサーバ証明書の種類は3つ
- ドメイン認証型
- 企業認証型
- EV認証型
SSLサーバ証明書は大きく分けて上記の3つになります。ただし、SSLサーバ証明書を発行するサービスや認証局によってはさらに細かくなりますので、利用しているサーバーなどのホームページでチェックしましょう。また、企業や組織であればすべてのSSLサーバ証明書の取得が可能ですが、個人の場合はドメイン認証型のみなので注意してください。
次にそれぞれの認証型の特徴について簡単に説明します。
1.ドメイン認証型
ドメイン認証型はメールによる実在確認が行われます。主にドメインの使用権の認証のみであり、企業や組織としての実在性のチェックは行われません。
2.企業認証型
企業認証型はドメインの使用権を保持する企業や組織として法的に実在するかどうかの確認が行われます。同時に第三者機関によって、企業や組織としての実在するかどうかの認証が行われるので、ドメイン認証型よりも信頼性と安全性が高くなります。
3.EV認証型
EV認証型はグローバルスタンダートに基づいてドメイン使用権を保持する企業や組織の実在確認が行われます。企業認証よりもさらに厳格に第三者機関による実在性のチェックが行われること、その他にも意志や権限の確認も行われることから一番信頼性と安全性が高くなります。
どのSSLサーバ証明書を選ぶべきか
SSLサーバ証明書を選ぶ時はどのようなWebサイトを構築したいのかで考える必要があります。 例えば、企業や組織としてのホームページのみであれば無料のSSL証明書でも良いと言えます。しかし、問い合わせフォームを設置するのであれば、企業認証型にするべきです。 加えて会員登録などの機能で何らかの個人情報を預かる場合やECサイトなど金銭のやりとりがある場合はEV認証型にするべきと言えます。
個人情報及び決済機能を取り扱うなら無料はNG
とりあえずhttps通信で暗号化されれば無料でも良いのでは?という方もいらっしゃるかもしれません。 しかし、個人情報や決済機能を取り扱うのであれば無料のSSLサーバ証明書はおすすめできません。 例えば、デザインや機能を模倣されてしまい、似たようなドメインを取得、そして無料のドメイン認証型のSSLサーバ証明書によってhttps化されたサイトを作られた場合、ユーザー側は見分けが付かずに騙されてしまう可能性があるからです。 企業や組織としての信頼性や安全性の実在証明は悪意のある第三者が真似や模倣できないようにするためでもあります。特に昨今ではオンラインバンキングやショッピングサイトに模倣・偽装した悪質なページによる被害が後を断ちません。企業や組織としてWebサイトやオンラインサービスを展開するのであれば、最低でも企業認証型、可能であればEV認証型を選ぶことをおすすめします。
まとめ:SSLサーバ証明書で企業や組織としての信頼性を示す
今回はWordPressで自社サイトを構築する時のSSLサーバ証明書の基礎知識や選び方についてご紹介しました。 企業や組織としての実在証明はなりすましの防止となるだけでなく、信頼性や安全性を示すためにも重要です。 インターネット上では様々なWebサイトが日々生まれては消えていきます。その中でどれが本物なのか、信頼できるのか判断してもらうためにも、適切なSSLサーバ証明書を選ぶようにしましょう。
最後までお読みいただきありがとうございました。 この記事がSSLサーバ証明書の選び方で悩まれていた方のお役に立てれば幸いです。