SSLサーバ証明書の善し悪しの判断とは?
(お詫び:今日の記事は【weekend edition】ではないです。<(_ _)>)
こんばんは。森永乳業がLet's EncryptのSSLサーバ証明書を使っていることについて、賛否両論渦巻いています。まずは、問題となった森永乳業のHPを参照してみましょう。こちらです。森永乳業の通販サイトです。
https://kenko.morinagamilk.co.jp/
証明書のパスを見ると、確かにLet's EncryptのSSLサーバ証明書であることが分かります。
因みに森永乳業本体のWebページはこちらです。
こちらはhttpsではなく、httpなんですね。最近の常時SSL化が浸透している状況を鑑みると、「通販サイトはhttps化の必要はあるけど、本体は公開情報しか置いてないし、httpでいいだろう。https?出来るだけコストはかけたくないよなぁ。え?無料でSSLサーバ証明書発行してもらえるの?Let's Encrypt?それでええやん!それでやって!」というようなやり取りが繰り広げられたのかなと邪推しました。(^^;
ここで、「東証一部企業が無料証明書(Let's Encrypt)使うってどうなん?」という主張がありました。これに対して、「無料証明書(Let's Encrypt)だからといって、何の問題もない!有料か無料かということは証明書の信頼性には全く関係ない!」という反論がありました。
Twitter上なので、140文字以内で表現しないといけない制約があります。両者の意見を自分なりに想像して補完してみると、両者の主張に納得しました。
補完した内容ですが、「SSLサーバ証明書」の種類にも3種類あります。このへんは後日書いてみる予定です。DV、OV、EVの3種類存在します。左→右の順に取得のハードルが上がります。詳しくは以下のカスペルスキーのブログを御参照下さい。
SSLサーバ証明書は3種類あると上で述べましたが、有料と無料の2種類が存在します。有料ですと、Symantec(今はデジサートになりましたが)や、グローバルサインなどの有名どころの証明書の他に、RapidSSLをはじめとする格安証明書もあります。
無料証明書はLet's Encryptが最も有名ですね。両者の違いについて、さくらのwebサイトで説明がなされています。有料/無料問わず、「ドメインの存在を証明する」という意味では何ら変わりません。基本機能においては両者ともクリアしていますので、決してLet's Encryptはダメだという話ではないということです。
個人的には腕時計と似ているなと思っています。「社会人になったんだから、それなりの価格の腕時計を身に着けておけ」と言う中高年が存在します。100万円の腕時計と1万円の腕時計の違いは一体何でしょうか?
時計の最も重視される性能は「正確さ」ではないでしょうか。1日に30分もずれる時計なんて何の値打ちもないと思います。「100万円の腕時計が1万円の腕時計の100倍正確なのか?」と聞かれると、そんなことはありませんね。100万円のゼンマイ式時計よりも、1万円の電波時計&ソーラーバッテリーの方が正確性は高いですし、メンテナンスの手間もかかりませんね。
「Let's Encryptってどうなん?」と言い放つ人の思考回路は、高い腕時計を着けておけという人の思考回路に似てるのでしょうね。
なので、無料証明書だからダメだという話ではないです。しかし、こういう事故があると、「ほら見ろ!セキュリティコストをケチるような組織だからこんなことになるんだ!」と言い出す人が出て来るということでもあるんでしょうね。(この両者は全くの別物なんですけどね。そういう意味では風評被害ですよね。)
なので、両方の言い分は理解できるんですよ。付帯条件を考慮すれば納得です。