2018年01月19日に初出の投稿

Last modified: 2018-01-29

昨年の後半あたりから、低額のレンタルサーバ・サービスでも Let's Encrypt の無料 SSL サーバ証明書が提供され始めて普及が進んでいる。それと同時に、かつての VeriSign(もちろん SSL サーバ証明書の CA だけを事業としている会社ではないのだが)が Symantec から他社へ譲渡されるという話題もあって、いよいよ SSL サーバ証明書の CA という事業は良好な先行きとは言えなくなってきているようだ。

確かに、CA 事業の各社は、まだ EV SSL を「別格」としてセールスしているのは事実だし、Let's Encrypt が EV SSL を発行するためにドメインをもつ事業者の証明まで代行するスタッフや仕組みを整えるとは思えない。だが、既に僕らの業界では EV SSL の価値はさほど高くないし、そもそも最初から知られていなかったのである。よって、EV SSL の将来も明るくはないだろう。上場企業のクライアントであろうと、アドレスバーを緑色にすることへのこだわりなど殆どないし、EV SSL という特別な証明書があるということすら知られておらず、これまで僕は何度か提案はしてみたが、仮に EV SSL という特別な価値の証明書があると知らせたところで、まず当社のディレクターに、それから次に広告代理店に、そして最後にトップクライアントに不要だと言われてきたのである。

もちろん(皮肉にもブランディングという観点から)、それも当然だろうと言い得る。なぜなら、既に多くの人々に知られている上場企業や大企業のウェブサイトにおいて、SSL 証明書を特別なものに替えたところで認知度は殆ど変らないからだ。いや、仮にもっと無名の中小企業が EV SSL 証明書をコーポレートサイトに使おうと、それだけでサイトや企業の認知度が上がるものでもない。そして、企業の信頼性とウェブサイトの(情報リソースとしての)信頼性は別であり、はっきり言えば収益に対する影響が強いのは企業の信頼性なのである。ブラック企業でも、美しく、使い勝手のよい、愉快なウェブサイトを制作して運用できる。そんなことは、詐欺師でも良くできたチラシをばら撒けるという事例と同じであって、既に僕らはインターネットどころかパソコンなど存在してもいなかった昔から知っていることだ。

そもそも SSL サーバ証明書が何のためにあるのかという点に立ち返ると、これは通信経路での改竄を防ぐのが目的である。したがって、そのコンテンツが「よい」コンテンツかどうかなど関係ないし、ましてやそのコンテンツの運営元である企業や運営者が「よい」企業や個人であるかどうかなど何の保証もないのである。現に、フィッシングサイトの多くも HTTPS で表示されるようになったし、逆に HTTPS での接続が当たり前となったので、従来のファイアーウォールではペイロードのリアルタイム検査ができなくなり、中小企業では逆にリスクが上がっているほどである。(もちろん最新のセキュリティソフトを使っていれば、HTTPS 通信を途中でフックしてスキャンしているため、クライアント証明書をセキュリティソフトの証明書に入れ替えられてしまうことで生じる問題もあるが、暗号化通信を導入しても検査はできる。)

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook