詳細情報

独自SSLが必要な理由

<PR>

SSLは、氏名やメールアドレス・クレジットカード番号などの個人情報を
ウェブ上でやり取りする最に、今や必須の技術である。

これが使われていないホームページで個人情報のやり取りをするのは躊躇われる。
個人の趣味で作成されたホームページならともかく、企業サイトがSSLなしで個人情報
の取得をしようとすればまず信頼を失う。

だが、独自ドメインでSSLを使用するためには、年間数万円
超の料金を支払い、SSLサーバ証明書を購入しなければなら
ない。

そこで利用されるのが、レンタルサーバーがあらかじめ用意した他ユーザと共用のドメイン
にて実現される共有SSLだ。

共有SSLでも、SSLによる暗号は基本的には問題なく行われている。
そのため、自社内でのみ使うサイトや、懇意の取引先との情報共有やファイル共有のサイト
ぐらいであれば、利用してもまぁ問題はないだろう。

しかし、付き合いの浅い取引先や、一般顧客相手であると、共有SSLの利用は好まれない筈だ。

その理由。

大手銀行や有名なポータルサイトを装って個人情報を騙し取るフィッシング詐欺が発生している
のはよく知られているところだ。

このフィッシング詐欺では、情報を騙し取るサイトのURLは(例外もあるが)基本的には、正規の
サイトのものではない。そのため、ユーザーは「それが正規のサイトであるか」判断するにあた
り、まず、URLが正規の独自ドメイン通りであるか確認するわけだ。共有SSLを使った場合、この
確認はできない。つまり、独自ドメインによるSSLの実現が、フィッシング詐欺の予防策として
はまず重要なのだ。

自社サイトを騙ったフィッシング詐欺が発生すれば、詐欺にあった人だけでなく、信頼性を失う
という意味では自社の被害にもなる。その点、「自社のSSLは独自ドメインできちんと実現されて
います。」といえれば、それだけでもその対策にはなるのだ。
SSLサーバ証明書が導入されていれば、信頼のある第三者により、独自ドメインにてSSLがきちんと
実現されていることの証明にもなる。

結論。

共有SSLの利用をわかっていて身内同士で使う場合や、個人ユーザがSOHOユーザが予算の関係で
「仕方なく(出来る限り個人情報を閲覧者から取得しない形で)」共有SSLを使う場合を除いて、
ある程度の規模の企業ユーザが、サイト上で個人情報を収集する必要があるのであれば、是非、
独自SSLを実現するべきだ。

もしそれが出来ないのであれば、サイト上での個人情報の収集をやめ、連絡先としてメールアド
レスを公開しておくのがよいだろう。



トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2012-10-13 (土) 19:44:14 (2618d)