ただつらつらと日記が書かれていくようです。

タグ: SSL証明書

…いつの間にかSSL証明書が失効してたので、Let’s Encrypt

このブログで使ってるドメイン向けに安いSSL証明書がいつの間にか失効してた…。なんか更新のお知らせのメールが来てたような気がするけど、更新忘れてた(大汗)

SSL証明書を更新しなきゃと思ったけど、このサーバーにはcertbotをインストールしてあるし、systemdで更新プロセスも動いてることだし…ということでLet’s EncryptなSSL証明書を取得して入れ替えた。

自動更新の仕組みさえ、ちゃんと動いてるなら、expireすることもないし…意外と悪くないかもしれない。

また安いSSL証明書を探してみた。

先日、godaddy.comの安いSSL証明書を購入してみたが、またもやSSL証明書が入り用になったので、再び、安いSSL証明書を探してみた。

…てか、安いといえば、godaddy.comのルート認証局のSSL証明書だと思っていて、30%引きとか27%引きとか、godaddy.comが定期的に投げてくるクーポンを使って、安いSSL証明書を入手することを考えていたのだが…。

調べてみたら、GeoTrust系のSSL証明書、特にRapidSSLの値段が凄いことになっていた(汗)一応、一通り、調べてみて安かったのが「SSLボックス」というブランドで販売しているRapidSSLな証明書。…なんと、2,100円/年。

まぁ、この安さの背景というか、SSL証明書を貼っているページに貼ったりするサイトシールが提供されないというデメリットもあるものの…それは本当にデメリットなのか、という気もするし、私自身も含めて、SSLページのサイトシールの表示ってあんまり意識されてない気がするわけで、サイトシールがないからといって何かまずいことがあるかと言われると、そんなこともないような…*1

そんなわけで、LinuxマシンでCSRをぱぱっと作って申し込んでみた。プリペイドなポイントで購入するってところが直感的ではなかったが、お金を支払うという点においては変わらないわけで、むしろ、PayPalに対応していたので、クレジットカードをいちいち打つ手間が省けて、かなり簡単に2,100円/年のサービスなのに、意外とUIもすっきりしていて好印象*2買うことができた。ま、裏側ではGeoTrustのRapidSSLの承認システムが動いているので…時々英語かと思いきや、日本語の画面で承認できたし。

で、SSL証明書の値段はどれだけの数のデバイスですんなりとSSLが通るかという点だが、このRapidSSLでは、クロスルート設定(ただし、中間証明書を2枚にする必要があるのが少し手間だが)すれば、「Equifax Secure Certificate Authority」をルート証明書にした認証ができるので、少し古いガラケーでもすんなりとSSLを通すことができる。例えば、RapidSSL証明書を入れたWebサーバとの間で、DoCoMoの端末だが「N-01B」と「SO-902i」で、すんなりとSSLを通すことができた。

また、Android端末の「F-12C」や「P-01D」「N-06C」でも、すんなりとSSLを通せた。(Android端末は、GeoTrustのCAのルート証明書を持っているので、「Equifax Secure Certificate Authority」に頼ることはなさそうだったけど)

一応、902シリーズもサポートできて、年間2,100円っていうのはなかなか競争力のある価格設定だと思う。…てか、他の認証局のSSL証明書が何倍かの値段で売られてはいるものの…高いSSL証明書と安いSSL証明書で、サーバーとクライアント間の暗号強度が劇的に変わるものでもないわけで、価格によるサービスの違いってのが実感できるだろうかと考えてみると、遠目になってしまうわけで。

2,100円のRapidSSL。安いSSLの中では、godaddy.comのSSL証明書より使えるんじゃないかという気がしてきた。いい買い物だったように思う。

*1:私自身も含めて、SSLページのサイトシールの表示ってあんまり意識されてない気がするわけで、サイトシールがないからといって何かまずいことがあるかと言われると、そんなこともないような…

*2:2,100円/年のサービスなのに、意外とUIもすっきりしていて好印象

お得なSSLサーバ証明書に関するメモ…の補足。

昨日、「お得なSSLサーバ証明書に関するメモ。 – お仕事日記。」ってエントリーを書いたけれど、結論としては、値段も高いけど、ケータイサポート率も高いVerisignもいいけれど、GeoTrustのSSL証明書って値段の割にケータイのサポートもそこそこでいいんじゃないだろうか的な結論になってた…つもりだ。

で、今日、たまたま、PHPで有名なアシアルがSSL証明書を扱っているのを見つけた。で、デモページがあったのでブラウザでアクセスして、証明書を眺めてみたが、そのルートCAがGeoTrustと同じ「Equifax Secure CA」であることがわかった。

てか、ApacheとかIISへの導入方法のインストラクションは、GeoTrustのサイトへのリンクじゃないですか…ってことで、日本ジオトラストとアシアルが売ってるSSL証明書は、結局、同じモノではないかと思う。で、アシアルから買った場合は、12,800円/年。うーむ、これは安い(汗)

しかし、アシアルのサイトを眺めてみたけれど、サイトシールに関する言及がさっぱりないことに気がついた。もしかして、サイトシールが提供されない(…もしかして、ケータイ向けのSSL証明書ってことなら、PCのブラウザで表示するサイトシールを提供してなくても仕方ないってなるんだろうか…)から、この安さってことなんだろうか(汗)まさかねぇ…。

まぁ、安さを追求するなら、GoDaddyとかRapidSSLに買いに行けば、3000円くらい/年でSSL証明書を入手することもできるわけで、ま、ちょっといろいろと微妙な世界ではあるんだけどなぁ。

お得なSSLサーバ証明書に関するメモ。

最近、SSLサーバ証明書を更新する必要があって、いろいろと調べ回ってみた。まぁ、そもそもSSL証明書なるものの価値というのは、どれくらい多くのブラウザやケータイが、そのSSL証明書のルートCAの証明書を持っているかという辺りで決まってそうだというのが、調べてみての感想。とはいえ、SSL証明書の商売って、結構、儲かってそうな印象(汗)も受けた。

例えば、PCのブラウザだけをターゲットとしてSSLを使うのであれば、とりあえず、GoDaddyのサイトでも行って買ってくるのが一番安いのではないかと思う。アメリカのGoDaddyとお取引する関係で、実際にやったことないけれど、決済周りとかいろいろとややこしいことになりそう。とはいえ、実在性証明などが伴わない、一番安いSSL証明書で\2,700/年くらいだった。(どういうわけかGoDaddyのサイトでは、日本円の価格を表示することができる)この辺の値段を知ってしまうと、日本国内で買うことができるSSLサーバ証明書のお値段は激しく高いことになる。

日本国内でもGoDaddy級のお値段を設定しているSSLサーバ証明書屋さんもあるが、その辺を除けば、普通のSSL証明書は、だいたい2.5万円~8万円くらいが相場ではないかと思う。GoDaddy系のルートCAのSSLサーバ証明書が発行される「JCert」のSSLサーバ証明書は結構安かった(1FQDNのドメイン認証なSSLサーバ証明書で¥26,250)

ま、EV証明書となるともっと高くなるが、SSLを使って通信内容を暗号化したいと思うクライアントがブラウザのアドレスバー辺りが緑色になってうれしくなるという要件でもない限り、、、特段、必要ないのかもなぁと遠い目をしてしまった。普通のSSL証明書でも、サーバとクライアント間の通信は暗号化されるわけだし、実際にアドレスバーが緑になるメリット感はあるのだろうか。うーむ、わからん。

一方、GMOが売っている「GlobalSign」のSSLサーバ証明書とかだと、ケータイ対応に若干の難しさがあるような気がした(ちなみに、私が使ってるケータイのN904iは未対応だったし…汗)が、ケータイを使わないのであればアリだろうなぁ。ケータイ端末を100%近い割合でカバーしたいならVerisignのSSLサーバ証明書を買うことになりそうだけど、結構いいお値段である。

なんだかんだ調べてみて、2006年からVerisignグループ入りした「GeoTrust」のSSLサーバ証明書がなんとなくお買い得な印象を受けた。ケータイ端末のカバー率に関して「92.8%の携帯電話で利用可能」って書いてある割には、標準価格が36,540円で、キャンペーン価格で22,050円。ほどよく安い気がする。まぁ、ケータイのカバー率が100%に近い「Verisign」か、ほどよい値段の割には結構ケータイをカバーしている「GeoTrust」で我慢するのかはなかなか難しい選択肢だ。

あと、インテックが扱っている「EINS/PKI+」ってサービスでは、ルートCAがRSAになっているSSLサーバ証明書を買うことができそうだ。値段が通常料金で5万円/年だから安いサービスではないけれど、ケータイには割とRSAのルートCAの証明書が入っているので、ケータイをターゲットとするWebサイトでSSLを使いたい場合には選択肢になりうるのかもしれない。