黒い画面(CLI)とかサーバーに全く詳しくなく、SSL/TSLの技術についてもさっぱり理解できていない管理人です。なので、サポートがないと自分のサイトの暗号化もできず…予算もないし、時代遅れのままなのね、と諦めておりましたが、そこへ光明が。
…大げさでしたね、すみません。
さくらインターネットのレンタルサーバーで無料のSSLが簡単に設定できるようになったのでこのサイトを暗号化しました。
少し前にC-Labo.公式サイトはラピッドSSLを導入しましたが、シマンテックの一件でこれもちょっとよくないぞ、となっていたところへありがたい話でした。
無料のSSL証明書には「Let’s Encrypt」というのを利用しているそうです。
プレスリリースはこちらから。
https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1770
公式のサイトもあるようです。
https://www.sakura.ne.jp/function/freessl.html
気になる導入方法
コントロールパネルから、ほぼワンクリックで導入が可能です✨
https://help.sakura.ad.jp/hc/ja/articles/115000136822
無料では信頼性が低いのでは?
無料で取得できる認証は「ドメイン認証」です。
無料も有料も、暗号化自体の安全性に違いはないという理解です。
でもなんで、あんなにお高い証明書があるのに、無料でできてしまうのか。ちょっと納得がいかなかったのですが、技術的に頑張って自動化したので無料でも良い、というのがひとつ理由にあるそうです。
参考にしたサイト
https://letsencrypt.jp
あと、正しいのかどうかはわからないですが、「とにかく平文通信しているサイトを一掃したい」という、大手のみなさんの思惑があるのでは、という意見。
https://techracho.bpsinc.jp/hachi8833/2016_09_23/26188
でも無料のSSL証明書は本当に問題がないのか?について、実際にフィッシングサイトなどが無料のSSLを使っているのではないか、というケースもあるようで。
証明書を確認すれば、どこの認証局の証明書を使っているのかはわかるので、いちいち確認すれば、フィッシングサイトであることも見抜けるのだと思いますが、ちょっとやですね。
https://rms-digicert.ne.jp/digital-certificate-news/certificates-for-phishing
今後に思うこと
単に暗号通信のためであれば無料でもまあ良いとしても、本当のところの「信頼性」を得るためには、有料の証明書を使うのが真っ当なのは変わりないのかなあ、と思いました。
また、こうなってくると「ドメイン認証」レベルの証明書の信頼性って、だいぶ低く見積もられるようになるのかなあ、とも思いました。
長い目で見ると、「企業認証」を取得し、証明書をひらけば事業主体が確認できる、というのがますます必要になるのでは・・・?
または「グリーンバーじゃなきゃ安心できない!」っていう風になっていくのかも・・・?
もしくはもっと確かな方法が求められていくようになるのかも・・・?(攻撃者と防御者のいたちごっこ…それこそ「安全」の宿命?)