最近は当たり前になってきているWEBサイトの常時SSL化。
今まで会社で作ったWEBサイトは「ラピッドSSL」を導入するサイトがほとんどでした。
だけど無料のLet’s Encryptが最強すぎて乗り換えました。
きっかけはクライアントからの電話。
サイトを見ると「この接続ではプライバシーが保護されません」の表示が…
原因はSSLの更新忘れ\(^o^)/
クライアントの会社にWebの管理者がいるから任せてたんだけど、更新メールを見逃していたらしい。
今から再契約するのは手間だし、反映まで時間もかかる…
だけどサーバーは「さくらのレンタルサーバー」
ならばアレがあるじゃないか…!
無料のSSL「Let’s Encrypt」
設定が簡単で数分程度ですぐに反映してくれる。
しかも自動更新までしてくれるので更新を忘れてサイトが見れない!なんてことにはならない。
速攻で設定し、10分もかからずサイトは元通りになりました。
強い(確信)
これから作るWebサイトは全部これで行こうと思います。
無料なのはもちろん、やはり自動更新が最高(・∀・)
とりあえず情報を暗号化して改ざんを防ぐのであれば「Let’s Encrypt」で充分だと思います。
さくらインターネットやロリポップ!などでは標準で利用可能なので、これからWebサイトを立ち上げる人は迷わず常時SSL対応することをオススメします。
今や個人ブログですら常時SSL対応している時代です。
じゃあ有料SSLは不要?
答えはNO。
とりあえず通信の安全性だけ確保したいのであれば特に必要ありません。
高い証明書だからといって、暗号化の強度に違いはなく、ページの読み込みが速くなることもありません。
ただし、「企業認証(OV)」や「 EV認証(EV)」なら企業の確認があり、サイトの信頼性が高まります。
ラピッドSSLやLet’s Encryptは「ドメイン認証(DV)」なのでレベルは一番低いです。
最高レベルの認証である「 EV認証(EV)」ならアドレスバーに企業名を表示できます。
↓こんな感じ。(さくらインターネットの場合)

ただし費用が高いので大企業でも結構「ドメイン認証(DV)」で済ませてたりする。
安全性は「ドメイン認証(DV)」で充分。
「ドメイン認証(DV)」<「企業認証(OV)」<「 EV認証(EV)」
の順で認証レベルが高く、値段も高いほど「信頼性」がアップする感じです。
個人情報、クレジットカードを扱う企業であれば「 EV認証(EV)」にしたほうがいいかもしれませんが、通信を暗号化してWebサイトの脆弱性を解決したいなら「ドメイン認証(DV)」でOKです。
「あの企業Let’s Encrypt使ってるじゃん、草草の草」とはなりません。上場企業も使ってるところはあります。
そもそも、結構大きい企業でもSSL対応すらできていないサイトがまだ結構あるんですよね…
WebサイトのSSL対応でSEOに有利になる…と言われているけど、これからはどのサイトもSSL対応していくからこのメリットはなくなってしまう気がする。
いずれはSSL対応していないサイトは検索に引っかからない…ということにもなりかねないので、今のうちにやっておきましょう。