おはようございます!マネジメントオフィスいまむらの今村敦剛です。
現在のレンタルサーバーへと移行して1年近くが経ちました。先日、SSLサーバ証明書を更新した際、当社のサイトにサイトシールを掲載しました。だから何だ?という気もしますが、ブログのネタにも困っているのでご紹介します?
SSLサーバ証明書とサイトシール
当社はWADAXの共用サーバーサービスを利用しています。もともとはさくらインターネットのサーバーを利用していたのですが、同時アクセスユーザー数が70~80程度で503エラーが頻発するので、昨年夏にWADAXへと移行したのです。
そして今年のものづくり補助金1次公募採択発表日、同時アクセスユーザー数が最高で700を超えたのですが(!)それでもWADAXのサービスではビクともしませんでした。移行して本当によかったです?こういうインフラにお金をケチってはいけませんね。(なお、画像では620アクセスですが、こちらもピーク時にはてんてこ舞いでスクリーンショットを残せませんでした?)
で、SSLのことですが、WADAXの現契約プランでは無料のSSL証明書Let's Encryptが使えないのです(昨年、WADAXと契約した際は、Let's Encryptが使えるプランがなかった)。やむなく有料のSSL証明書を利用しているというわけです。個人的には無料のもので全く問題はないのですが、まあこういうインフラはある程度のお金をかけてもいいのかな?と思っています。(意識的に認知的不協和の解消を図っています?)
せっかく有料のSSL証明書を利用しているのであれば、それは外部にアピールしなければ損ですね。それを簡単にWebサイトを訪れた人にお知らせできるのがサイトシールです。こういうやつですね。
サイトシールはどこに貼るのがいい?
サイトシールはどこに貼るのがいいのでしょうか。やはり見てもらってナンボですので、見られるところに貼りたいところです。
一般的に人は、Webサイトは左上から見ると言われているのですが、いくら見てもらってナンボとはいえ、そこにサイトシールを貼るのは若干興ざめです。ということで当社のサイトでは以下のところに貼るようにしました。
まずは右コラムの一番下側です。たまたまですがっこにはプライバシーポリシーへのリンクがあり、SECURITY ACTION2つ星のマークを掲示しています。いわば当社の「セキュリティ関連」領域なので、ここにちょこんとサイトシールを貼りました。
その他、セキュリティに関する告知が気にされやすいところは、お問い合わせページでしょうかね。データ最小化の原則に基づいているのでそれほど多くの情報を収集しているわけではありませんが、お問い合わせページには個人情報の入力欄があります。送信の際に躊躇しないよう、ここに掲示しました。
最後に、当社のクレジットカード決済のページです。当社では商材のダウンロード販売を行っていますが、そこでクレジットカード情報の入力を促すところがあります。
この程度でじゅうぶんじゃないでしょうかね??
組織実在認証(OV)やEV認証は必要か?
当社は来年、法人成りをします。その時にSSLで悩ましいのは、有料SSL証明書のさらに上位サービスである企業実在(OV)認証やEV認証が必要かどうかということです。SEO対策にはあまり役立たないという話もありますし(Googleはhttpsかどうかを重視していて、OVであろうがEVであろうが関係ないとのこと)、そこまでユーザーも敏感かな……という気がしなくもありません。
ところで、現在のSSLセキュリティレベルを診断してくれるサイト(Qualys Lab tool.)があります。このサイトでの診断結果では、今のSSL認証書(DV認証)でもそれほど悪くないんですよね。Key Exchangeという暗号鍵交換アルゴリズムが、Forward Securityに対応していないらしく(サーバー側で)、そのために評価が落ちている以外は問題なさそうですからね。
もう少し考えてはみますが……きっと今まで通りのDV認証のままでいくんでしょうね、きっと?