2018年のWeb界隈のトレンドのひとつとして、SSLの通信暗号化が挙げられます。
Google Chromeのバージョンアップ(アドレスバーに保護されていませんと表示される)に伴い、「Let’s Encrypt」と呼ばれる無料で手配可能な証明書が普及し、 多くのWebサイトが「https」で始まる通信のものへ変わりました。
しかし、いかにもこれにて万事解決かというとそうでもないのが実状です。
従来のSSL証明書は種類により手続きがランク付けがなされており、認証の過程で企業の登記事項の確認、ドメインの所有権の確認など認証局機関が企業の実在性を証明する手続きがあり、認証局よる登記情報やドメインの所有権を確認が実施されたうえ証明書が発行され、サーバーへ設置することにより初めてその安全性が担保されます。
しかし「Let’s Encrypt」はその企業の実在を証明する手続きを大幅に簡略化し、簡単に証明書が発行されてしまいます。※「Let’s Encrypt」は証明書の発行前にドメイン認証はなされていますが、GoogleChorome環境でセーフブラウジングでアラートが出る可能性があります。(補足:2/5)
昨今の「Let’s Encrypt」は大手サーバー事業者が導入を推進し、個人向けのブログサービスや一部の企業サイトにおいても導入されていますが、 例えフィッシングサイトを運営する事業者であっても簡易に「Let’s Encrypt」を取得でき、「https」通信のWebサイトが公開されます。
通信の暗号化はなされてはいるが、最終的にその情報が正しく取り扱われているのかどうかまでは怪しいところです。
弊社では一部のケースを除き、基本的に「Let’s Encrypt」の取り扱いはありません。我々が提案していくべきは「Let’s Encrypt」ではなく、 クライアントの企業価値を損なわないためにも然るべき手続きを踏んだ認証型の証明書でありましょう。
また、 利用者目線で考えるとアドレスバーが「https」で始まるWebサイトだからアクセスしても必ずしも安全性が保たれているわけではなく、多発するフィッシングサイトにも注意していかなければなりません。