今週、あるサイトのサーバー移管をしました。
経費削減のため、お客様の方でデータセンターでホスティングしていたサーバーから、エックスサーバーというレンタルサーバーに変えました。
サーバーが変わると、SSLサーバー証明書を新たに発行して設定する必要があります。SSL通信や、SSLサーバー証明書についての詳細はここでは省きますが、簡単にいうと、ブラウザとサーバー間の通信を暗号化してくれるものです。ブラウザのアドレス欄にhttpsと表示されていて、鍵マークが表示されていたら、そのサーバーにはSSLサーバー証明書が設定されていて、通信が暗号化されている、ということになります。
SSLサーバー証明書を発行している会社はさまざまあり、価格もバラバラです。
有名なところでは、シマンテック社(旧日本ベリサイン)のものが81,000円/年〜219,000円/年。弊社でもよく使っているのがジオトラストのクイックSSLというもので、31,300円/年です(価格は定価で、購入するサイトやサーバー会社によって値段が変わります)。
この価格の違いは何かというと、発行している会社の認証方法の違いで、価格が上がるほど審査のハードルが上がります。一番価格が高いものは、登記事項証明書が必要だったり、担当者の在籍確認があったり、登録住所が実在するかの確認が書類で行われたり、という形になります。
ここまで違うと、暗号化の仕方や強度も違いがありそうですが、ないのです。
ということで、価格の高い証明書を使うことによって「ウチは厳しい審査を通過したサイトです」ということを示すことになります。対外的な信頼度の違いと言えばよいでしょうか。クレジットカードのブランドの違いで考えれば分かりやすいかもしれません。
しかし、通常インターネットをしていて「このサイトはどこのSSLサーバー証明書を使っているのかな?」と気にすることは…まずありませんね。なので、特に理由がない限りは無料で使えるSSLサーバー証明書(Let’s Encryptなど)で十分ではないか、と思います。
既に書いた通り、暗号化の強度に違いはないのですから。