2012/03/18

個人利用なら SSL 証明書が無料で利用できるらしい


体系的に学ぶ 安全なWebアプリケーションの作り方」を読んでいたら、とっても気になる記述が。

サーバー証明書のうちドメイン認証証明書は比較的価格が安く、購入のハードルが低いものですが、ドメイン認証証明書には無料のものがあります。イスラエルのStartComという企業は、無料のサーバー証明書を発行しています。IE、Firefox、Google Chrome、Safari、Operaの最新版で証明書エラーなく使用できます。IE6でもアップデートが当たっていれば使用できます。

日本の携帯電話には対応していないようです。しかし、今までラピッド SSL が年間2,100円で最強だと思っていたけど無料のものがあるとは。気になったので、ちょっと調べてみました。

以下の画面が StartCom のサイトです。画面の赤枠のリンクをクリックすると次の画面が表示されます。

StartCom

 

そうすると、SSL 証明書の製品紹介ページが表示されます。URL のドメイン名が突然変わりちょっと驚きますが、以下のように本当に無料の SSL 証明書がありました。

StartSSL

注意しなければいけないのは、StartCom の無料版の SSL 証明書は個人利用に限ること(法人はダメ)、承認に時間がかかることがあること、一度ログインした後はクライアント証明書を使用するので、証明書の移行をしないと別のマシン・ブラウザではログインできないことでしょうか。この辺の内容は FAQ に記載されています。

手元に SSL を使うサーバーがなくて実際に試せないのが残念ですが、無料の SSL 証明書が必要な方は試してみてはいかがでしょうか。オール英語ですけどね(笑)。

 

(2012.3.18追記)
StartCom の SSL 証明書は、Apache でも IIS でも利用できるようですね。

 

■関連エントリー


スポンサーリンク


このエントリーをはてなブックマークに追加




Twitter ではブログにはない、いろんな情報を発信しています。


コメント

SSL"証明書"のセキュリティの仕組みとは、暗号化と実在証明がセットになったもので、例え経路が暗号化されていても、信用のないところへは大切なデータは送らないようにしましょうね、というのがSSL"証明書"の考え方です。
だから認証局は信用機関を兼ねていますし、料金は審査料です。(ただし基本的に"実在"の証明であって、信用はまた別)

一方こういった実在証明のない証明書が出回っているので、2007年からEV SSL証明書の運用がスタートしています。
ブラウザに認証局が表示されるあれです。
紹介の書籍にどのように書かれていたのか分かりませんが、情報セキュリティスペシャリストとしてはエンジニアが見落としがちな「安全(セキュリティ)」の考え方についても触れておいて欲しかったところです。

>>noconoco さん

コメントありがとうございます。ご指摘の通り、この SSL 証明書は経路の暗号化を行うだけで、実在証明をするものではありません。

書籍の中でも、予算の関係などで、いわゆるオレオレ証明書を利用しているサイトで、ルート証明書としてインストールする慣習が広まらないようにこういった無料の SSL 証明書の紹介をしていました。

企業が使用する SSL 証明書であれば、実在証明が重要になってくるのでこういった暗号化のみのものを利用することはありえません。

ただ、一方で個人が作成する Web サービスで実在証明付きの SSL 証明書を購入するのは困難があるため、通信が暗号化されないよりは、通信を暗号化するだけの SSL 証明書でもよいのではないかと思っています。

サービスが成長して収益があがってくれば、実在証明付きの SSL 証明書を使って欲しいですね。

コメントを書く



プロフィール

  • 名前:fnya
    経歴:
    SE としての経験は15年以上。様々な言語と環境で業務系システム開発を行い、セキュリティ対策などもしていました。現在は趣味SE。

    Twitter では、ブログでは取り上げない情報も公開しています。


    ブログについて

    このブログは、IT、スマートフォン、タブレット、システム開発などに関するさまざまな話題を取り上げたり、雑感などをつづっています。

    >>ブログ詳細
    >>自作ツール
    >>運営サイト
    >>Windows 10 まとめ

    Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから