Scribble at 2024-11-20 18:59:43 Last modified: 2024-11-20 19:10:08
ただいま弊社では経費節約の一貫として、幾つかの施策を始めようとしている。些細なものについては、変更する手間の方がかかる場合があるので、なかなか手がつけられてないのだけど、僕としては SSL サーバ証明書を Let's Encrypt にしてもいいんじゃないかと思っている。
現在、弊社ではサービス・サイトの二つについて有償の証明書を毎年購入していて、証明書そのものは DV(メールによるドメイン認証)でしかないから Let's Encrypt と同じであって、企業の存在証明にすらなっていない。しかも、証明書をウェブ・サーバで更新してもらうために、外部の委託先に作業を1件あたり5万円とかで発注しているのだ(なんで社内の最高技術者が作業しないのかというと、僕は管理系の部署へ転籍した際に、事業部側のシステムにはかかわらないことになったからだ。なんでもできるからといって、俺が自社のサービス・サイトやサーバを一人で、しかも事務屋の給料で運用する責任なんて取れるわけないし、取るつもりもない。俺に任せたいなら、最低でも20人の部下と四桁の給料は最低条件だと思う。それが、有能な人間にそれなりの仕事をさせるための投資というものだ)。
実は以前にも Let's Encrypt へ切り替えたらどうかと提案したことはあるけれど、「大企業は使ってない」という一言で却下されてしまった。いや、うちって社員50人もいない零細だし、サイトだって似たような名前の mybest なんてサイトにアクセス数でも負けてるだろう? なんで大企業と同じ基準なんだよ・・・これは、僕に言わせれば「上場企業や大企業に Let's Encrypt を使っているところはない」なんていう話をもとにした、単なる無知による錯覚だ。有償の証明書を使えば大企業と肩を並べられるという、はっきり言ってサラリーマンとしても頭がおかしいとしか思えない妄想だよ。
そもそも上場企業のサイトで使われている証明書は、ワイルドカードも含めた EV 証明書という最高位のものであって、年間の料金が数十万円のものだ。確かに上場企業は、そういう有料の証明書を使っていて Let's Encrypt を使っている事例は少ないだろう。それは EV 証明書という企業の証明も兼ねた厳しい条件で発行される証明書を使うことで、一定の担保になるという前提があるからだ。でも、弊社はそんな証明書を使っているわけではない。有料の証明書というだけで、実際にはただの DV(ドメイン認証)の証明書にすぎない。したがって、企業の実在証明ができるわけでもないのだから、こんなものは Let's Encrypt と同じであって、エンド・ユーザにとってのセキュリティ的な効果でも同じである。
そもそも、ブラウザでサイトの SSL サーバ証明書をいちいち確認するような動機と知識をもっているような人であれば、DV 認証であるかぎり Let's Encrypt だろうと、あるいは一枚 1,000 円ていどで売ってる有料の証明書であろうと、セキュリティ上の効果として同じであることを知っているはずだ。それ以外の一般人にとっては、証明書なんてはっきり言ってどこのを使っていようが構わないだろう。ようは、暗号化通信ができて中間者攻撃から通信データを守れればいいのだ。
そこを、無知なくせに「大企業は Let's Encrypt を使っていない」というだけで、たかが 1,000 円ていどでも金を払っていればよしというのが、愚かな人間のやるビジネス判断というものだ。こういうことを言っていたのは、もう退職して弊社にはいないが、しょせん技術的な知見のない、マーケティング業界の詐欺師どもがブログやメディアに書いてる嘘話をかき集めてきて知ったかをしてるような連中である。ということで、来期は SSL サーバ証明書については EV にするよう数十万円の予算を確保するか、あるいは Let's Encrypt に変更するかを発議したいと思っている。まぁ、サーバの運用を委託している会社に Let's Encrypt で自動更新してもらう手間は発注する必要があると思うが、それも結局は crontab に1行だけ追加するていどのものだ。
このように知識や経験を持っている人間こそ、会社の金を浪費しない知恵があるわけで、結局はビジネスとしても有利に投資を振り分けたり事業を運用できるのだ。口先だけ居酒屋で「えいえいおー」なんて叫んでる営業マンやマーケティング屋やウェブ・ディレクターなんて、給料をふんだくっていくだけで業績も上げずに、いったい何十人が入ってはいなくなったことだろう。