こんにちわ。モバイルディレクターの飯田瞬です。

ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。

今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。

割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います...

【01】SSLサーバ証明書って何だろう?


SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。

SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化するときに使用するサーバの公開鍵も格納されています。

ssl

かなり端折って説明してしまいましたので、もう少し詳しく SSL と SSL サーバ証明書について知りたい方は下記ページを参照してください。

SSL とは何か、証明書とは何か?

【02】SSL サーバ証明書取得までには時間がかかる

あまり知られていないのが、SSL サーバ証明書は取得するまでにある程度の期間が必要ということです。SSL サーバ証明書の種類によって異なりますが、大抵の場合は会社の登記簿と印鑑証明が必要になりますので、その準備期間も含めて2週間ほど見積もっておくのがベターです。

代理申請も可能ですので、クライアントには必要書類だけを用意してもらい、実際の申し込み (CSR 発行など)・設定は受託会社が行う、ということができます。クライアントが不安そうにしていたら、是非とも協力してあげましょう!

SSL サーバ証明書の取得をすっかり忘れていて、ウェブサイトのリリースをまるまる2週間延ばした、なんて話も風の噂で聞いたことがあります。

【03】コモンネーム1つにつき、1つの SSL サーバ証明書

基本的にコモンネーム (FQDN) 1つに対して、1つの SSL サーバ証明書しか割り当てられません。コモンネームが異なるけど SSL サーバ証明書がほしい場合は、コモンネームごとに SSL サーバ証明書が必要になります。

たとえばSSLサーバ証明書を割り当てる URL が

http://hoge.example.com/

の場合、コモンネーム (FQDN) は hoge.example.com になります。www.example.com や example.com には適用されません。

このコモンネームは申請の際とても重要になりますので、決して間違えないようにしてください。

また、負荷分散などでサーバが複数台ある場合は、SSLサーバ証明書も複数個必要でしたが、最近では1つのSSLサーバ証明書で済むサービスもできたようです。

【04】SSLサーバ証明書を提供するサービスにより価格が違う

一口にSSLサーバ証明書と言っても、SSLサーバ証明書を発行している団体や種類によって価格体系がさまざまです。

種類や価格体系を把握するには下記リンクが参考になると思います。

SSLならグローバルサイン (旧日本ジオトラスト株式会社)
日本ベリサイン 【セキュリティ・電子証明書・電子署名】
セコムトラストシステムズ【セコム】

時期やキャンペーンで変動することがあるので、定期的にチェックしておくことをおすすめします。

【05】モバイルサイトの SSL サーバ証明書はちょっと違う


モバイルサイトで SSL サーバ証明書を取得する場合、さらに気をつけなければならないことがあります。

まず、項目3で「コモンネーム1つに対して、SSL サーバ証明書は1つ」と述べましたが、1つのコモンネームで PC とモバイルにも対応させる場合は、PC・モバイル両方に対応した SSL サーバ証明書が必要です (もしくは個別に用意する)。

しかし、ケータイ端末にも PC ブラウザと同様にルート証明書があらかじめ入っていますが、docomo などのキャリア側は、すべてルート証明局の証明書が組み込まれているわけではありません。

また、au の場合だと異なる SSL 通信方式が2通り (End-to-EndとLink-by-Link) 存在し、ルート証明書の持ち方も若干違っていたりします。

キャリアから SSL およびルート証明書に関する資料が公開されているので、判断の参考になればと思います。


作ろうiモードコンテンツ:主なスペック | サービス・機能 | NTTドコモ

KDDI au: 技術情報 > SSL通信
ソフトバンク

ちなみに予算が充分に確保されている案件であれば、日本ベリサインのサービスが比較的確実かつ安定した SSL サーバ証明書なので、こちらを購入するのも1つの手段です。

【06】SSL サーバ証明書を取得したら


SSL 証明書を無事に取得できサーバに入れたら一息つきたいところですが、まだ確認しなければならないことがあります。

それはコンテンツの、SSL 領域内のページのリンクが切れていないかのチェックを行ってください。特にヘッダーやフッターなど共通化して管理している箇所 (DreamWeaver でテンプレート化しているなど) は注意しましょう。

というのも、相対パスや絶対パスでリンクを指定しているとリンク先が「https://...」で始まっていると思いますので、SSL領域内から領域外へのリンクは絶対 URL で記述してください。

ほかにも、サーバ設定や SSL が適用されるディレクトリの構造によって確認事項が異なりますので、適宜エンジニアと調整しながら確認を進めていただければと思います。

長くなってしまいましたが、以上がディレクターが知っておいた方が幸せになれる SSL サーバ証明書取得までの必要最低限事項でした。SSL サーバ証明書を取るのにも一苦労ですね (笑)

ただ、プロジェクト管理という視点では絶対に外せない項目ですので、ディレクターはキックオフミーティングで「SSL は必要ですか?」といきなり聞いてしまうぐらいがちょうどいいかもしれません。

ライブドアでは SSL サーバ証明書取得の面倒な作業も嫌いじゃないよ、というディレクターを募集しています。


■ちょっと宣伝
ライブドアではお得なSSL証明書も扱っております。この機会に是非どうぞ!
詳細はこちらのバナーから↓