無料SSLは大丈夫?
WEBサイトへの接続を暗号化し、偽装サイトなどに対しても安全なものにするSSLを使用するサイトが増えています。
SSLのためにはWEBサーバー側に証明書が必要になり、それを購入するために費用が必要となります。
このところレンタルサーバーなどでも無料SSLが利用可になるなど無料SSLという言葉を目にすることが多くなりました。
無料SSLサービスLet’s Encryptを運営するのはInternet Security Research Groupという組織で、出資者には大手ネットワーク機器メーカーCiscoやインターネットコンテンツ配信網大手Akamaiが名を連ねています。
現在すでに1億以上の証明書発行実績があり、SSL証明書としての実績も十分です。
技術的な安全性として、他のSSL証明書と変わるところはありません。
SSLにも認証レベルがあり、運営組織自体の実在を証明局が証明したEV SSLなどがありますが、SSL証明書の発行にそこまで厳格な審査はLet’s Encryptにはありません。
Let’s Encryptの特徴としては、証明書の有効期限が90日と限定されており、それ以上の延長のためには再発行を請求し、再発行された証明書をサーバーに設置する必要があります。
一般のroot権限を持つサーバー(オンプレミスのサーバー、専用サーバーやVPSなど)であればスクリプトをインストールするとこれらの一連を自動化することができます。
レンタルサーバーなどでもこれら90日間隔の再発行の仕組みを独自に実装するなどして、ユーザーに無償で提供している企業も増えました。
無料SSLと有料SSLで安全性には差はありません。その証明書の有効期限が90日に固定されているところが違い、持続的にSSLを提供するためには更新の仕組みが必要です。