狠狠撸

コンバージョンに効く ?
SSL サーバ証明書処方箋

　 2012 年 3 月 6 日

エムスリー株式会社

エンジニアリンググループ川村昌司

Copyright ? 2012 M3, Inc. All rights reserved.

本日のゴール

サイト運営者視点で SSL サーバ証明書について基礎知識を覚えていただく
? 残念なことに某社のエンジニアも意外と知らなかったり。。。

→ 最適な証明書を選択出来るように

?そのサイトに個人情報を送れますか ?
?その証明書で実は潜在顧客を逃がしていませんか ?
?証明書に無駄にお金を払っていませんか ?

※ 技術的な話は出来るだけ排除します
※SSL クライアント認証についても取り扱いません。

Copyright ? 2012 M3, Inc. All rights reserved. 2

自己紹介

システムアンドネットワークアドミニストレータ＠エムスリー

※ 本発表の内容には SSL サーバ証明書の格安購入に関して未検証の内容を
含みますので、その点ご注意?ご了承ください


目次

?SSL って ?
?SSL の仕組み (PKI) について
?SSL 注意点
?SSL サーバ証明書の種類
?SSL サーバ証明書：コンバージョンへの効能
?SSL サーバ証明書：選定基準
?SSL サーバ証明書：安く買う方法


目次

?SSL って ?
?SSL 注意点


SSL って ?

Q. SSL(https://...) って何のためのもの ?

Ans. 通信 (http) を暗号化
あれ ??? この字をよく見てください
「 SSL サーバ証明書」

Ans. 通信の暗号化＋サーバ証明書に記載のサイトと通信している事を証明
誰と通信しているかわからなくて、暗号化していると言えますか ?

暗号化

意図するサイトと通信している事の証
明

クライアン端末サーバ
( ブラウザ )

目次

?SSL って ?
?SSL 注意点


SSL の仕組み (PKI : 公開鍵認証基盤 ) について

?SSL では公開鍵暗号方式の 1 つである RSA 暗号を使用 ( するのが一般的 )
? RSA 暗号方式の特徴
? 秘密鍵と公開鍵のペアを使用 ( ここでの鍵とは電子データ )
? このうち、公開鍵は文字通り誰にでも公開可能
? 一方、秘密鍵は文字通り他人に秘密にしておく必要がある
? 秘密鍵で変換したデータは公開鍵で元に戻る：電子署名に使用
? 公開鍵で変換したデータは秘密鍵で元に戻る：暗号化に使用


SSL の仕組み (PKI) について - 暗号化 -

公開鍵は誰に渡しても OK

Alice Bob Chris

コンバー 11111010 コンバー
ジョン塾 10101000 ジョン塾
最高だね 11100000 最高だね
0101001

Bob Alice
11000
？？ 10110

Chris
公開鍵で変換したデータを元に戻せるのは、秘密鍵をもっている Alice だけ !!


SSL の仕組み (PKI) について - 電子署名 -

公開鍵は誰に渡しても OK

Alice Bob Chris

コンバー 10001111 コンバー
ジョン塾 00000101 ジョン塾
最高だね 01110000 最高だね
0101001

Bob
Alice
コンバー
ジョン塾
Alice の公開鍵で復元可能なデータを作り出せ最高だね
るのは秘密鍵を持っている Alice だけ !!
→ これは Alice が作成したメッセージだ !!
Chris


SSL の仕組み (PKI) について - 公開鍵証明 -

でもこれって本当に Alice の
俺のかもよ ?
公開鍵かなぁ ...???

Chris

自身の公開鍵に所有者情報 ( サブジェクト ) を添えて申請

Alice

認証局が厳重に管理している、認証局自身の秘密鍵で、
信頼できる認証局 (CA)
Alice のサブジェクトと公開鍵を含むデータを変換 ( 署名 )
公開鍵証明書

誰もが信頼するあの認証局が、この公開鍵は Alice の
ものと証明してくれたのだから、この公開鍵は Alice
のもので間違いない！！！

Chris

SSL の仕組み (PKI) について – 公開鍵証明書の中身 -

(1) 認証局情報、有効期間等

(3) 公開
鍵

(2)Subject( 所有者識別情報 (4) 拡張領域 ( 鍵の使用用途等を
) 認証局が追加 )
(5) 認証局の署名
Copyright ? 2012 M3, Inc. All rights reserved. (1)-(4) のデータ ( のハッシュ ) を認証局の秘密鍵で
12
変換

目次

?SSL って ?
?SSL 注意点


SSL 注意点 - Web ブラウズでの実際 ( 正常動作 ) -
証明書が正しい場合
リクエスト https://www.askdoctors.jp/
この公開鍵証明書を署名した発行者 CA 証明書
は私に組み込まれているから、これは正しい
証明書 ( 公開鍵 ) だよ！

暗号化通信用の暗号鍵 ( の元 ) を、サーバの公
開鍵を使って暗号化して送信

www.askdoctors.jp
Bob サーバは自身の秘密鍵で暗号化通信用の鍵 ( の
元 ) を取り出す。

正しい相手との「暗号化通信」が成立


SSL 注意点 - Web ブラウズでの実際 ( 異常時の動作 ) -
証明書に問題がある場合
リクエスト https://www.ayashii-
この公開鍵証明書の発行者 CA site.com/
は
私の知らない CA だよ！

https://www.ayashii-site.com/
Bob

代表的な SSL のエラー
?ブラウザにサーバ証明書発行者 (CA= 認証局 ) のルート証明書が入っていない
?実際に接続しようとした URL のドメイン名と、証明書に記載されたドメイン名が一致しない
?証明書の有効期限が切れている
?証明書が失効している (CA が発行する失効リストへの記載や OCSP で失効状態 )
?Web サーバ側の設定ミス ( サーバ証明書と、 CA のルート証明書の間の証明書 ( 中間証明書 ) が設定されてい
ない )

SSL 注意点 - Mixed Content -
Mixed Content
URL は https:// だが、画像や css などのリソースが http:// で提供されている
正しく構成されたコンテンツの場合はブラウザのアドレスバーが青や緑になるはずが、ならない

動的ページでのリソースの読み込みには特に注意が必要
?パスで記述 (src=/slideshow/ssl-12112483/12112483/“http:/www.example.jp/img/foo.png” → src=“/img/foo.png”)
?アクセスが https/http かをチェックして出力 ( サーバサイド、クライアントサイド )
?scheme を省略した // で始まる URL を使用 (src=“//www.example.jp/img/foo.png”)
? see rfc3986
?全ページを https に (http は必要 ?)


SSL 注意点 - どのページを SSL 化する -

Q. どのページを SSL 化すれば良い ?

データ送信先ページ：当然

データ入力フォーム：当然

データ入力フォームの手前のページ：当然

入力フォームへ導くページが改竄されていては何も意味が無い

サイト全体：出来れば

そのサイト、非 SSL で提供する必要ありますか ?
「全てを SSL で提供」を検討する事から始めてはいかがでしょうか


目次

?SSL って ?
?SSL 注意点


SSL サーバ証明書の種類

大きく分けて 3 つ
? ドメイン認証型
? 企業認証型
? EV(Extended Validation) (2007 年～ )


SSL サーバ証明書の種類 - ドメイン認証型 -

特徴
? ドメインを持っていれば個人でも取得可
証明できる事
? 証明書に記載されたドメインで運営されるサイトである事
証明書発行時のバリデーション
? ドメイン所有者のメールアドレス到達性確認のみ
購入
? 年間数百円～数万円
? 購入から発行完了まで最短数分
代表的な製品ベンダ
? GeoTrust( クイック SSL プレミアム , RapidSSL)
? Thawte(SSL 123)
? GoDaddy( スタンダード SSL)
? Global Sign ( クイック認証 SSL)


SSL サーバ証明書の種類 – 企業認証型 -
特徴
? ドメインを持ってる法人のみ取得可
証明できる事
? 証明書に記載された法人が運営するドメインにアクセスしている事
証明書発行時のバリデーション
? 法人の実在性確認 ( 登記簿謄本の提出等＋電話確認 )
購入
? 年間数万円～
? 購入から発行まで、即日～ 1 週間程度
? VeriSign(Secure Server ID, Global Server ID)
? CyberTrust(SureServer for SSL)
? GoDaddy( デラックス SSL)
? GeoTrust( トゥルービジネス ID)
? Thawte(SSL Web Server Certs, SGC Super Certs)
? Global Sign ( 企業認証 SSL)


SSL サーバ証明書の種類 - EV 登場前の問題点 -

Q. 以下、一方がドメイン認証 SSL 証明書を使用していて一方が企業認証
SSL 証明書を使用しています。どっちがどっち ?

www.m3.com account.edit.yahoo.co.jp



証明書がドメイン認証か企業認証かを確認してみましょう。
Firefox の場合、ブラウザの青い部分をクリック (IE では南京錠マーク ) し
て ...

つづく。。。


SSL サーバ証明書 - EV 登場前の問題点 -

証明書の Subject に企業名や所在地情報が入っていれば企業認証型
左： O(Organization) = Yahoo Japan Corporation
右： O = www.m3.com


? 認証局、証明書によって認証レベルが違う
? 一方は厳格な審査、他方は安直な審査
? ユーザがそれを見分けるのは困難
→ 認証局が独自に発行するシールをサイトに掲載してもらう事で差別化
→ 殆どのベンダでやっていてシールの意味を理解しないと結局は見分けられない
? SSL 証明書を搭載したフィッシングサイトも登場
→ 個人でも正当なドメインと SSL 証明書を取得できてしまう

? 主要な認証局ベンダとブラウザベンダが CA/Browser Forum を立ち上げ
て認証ガイドラインを作成 ( 日本語版 :
https://www.jcaf.or.jp/pdf/guideline_20070219.pdf)
? ガイドラインに準拠して発行された証明書に対してブラウザが専用の U/I
を用意
→EV(Extended Validation) 証明書の登場All rights reserved.
Copyright ? 2012 M3, Inc. 25

SSL サーバ証明書の種類 – EV 証明書 (1) -
特徴
? ドメインを持ってる法人のみ取得可
? 証明書使用サイトへのアクセス時にブラウザのアドレスバー近辺が緑になり、企業認証型 SSL 証明
書を使用しているという事が一目でわかる (PC, スマートフォン )
証明できる事
? 証明書に記載された法人が運営するドメインにアクセスしている事
バリデーション
? 法人の実在性確認 ( 登記簿謄本の提出等＋電話確認 )
購入
? 年間数万円～
? 購入から発行まで、数日～
? VeriSign(Secure Server ID EV, Global Server ID EV)
? CyberTrust(SureServer EV)
? GeoTrust(True BusinessID with EV)
? Thawte(SSL Web Server Certs EV)
? Global Sign (EV SSL)


SSL サーバ証明書の種類 – EV 証明書 (2) -

EV 証明書使用サイトですぐにわかる事
?アドレスバーが緑なので実在する企業が運営するサイトである
?サイト運営主体 ( 上記では SBI Sumishin Net Bank, Ltd. )
→2011 年 2 月より EV 証明書に日本語 (UTF8) を入れても OK に
?IE の場合、認証実行主体 ( 認証局名 ) とサイト運営組織名が交互に表示される


SSL サーバ証明書の種類 - まとめ -

印象の差
https://www.askdoctors.jp/ + ドメイン認証型 SSL 証明書
「医師に相談できる QA サイト」
→ クレジットカード番号要求されるなぁ。サイトにはエムスリーという会社が運営
していると書いてあるけど、本当かどうかドメイン名からは全くわからないな。こ
のサイト大丈夫かなぁ ...?

https://www.askdoctors.jp/ + EV 証明書
「医師に相談できる QA サイト」
→ ブラウザの緑のアドレスバーによるとこのサイトはエムスリーという会社が運営
するサイトであるようだ。 google 先生によるとエムスリーは東証一部上場か。
じゃぁクレジットカード情報を入力しても大丈夫かな。


目次

?SSL って ?
?SSL 注意点


SSL サーバ証明書：コンバージョンへの効能

ターゲットユーザが、ドメイン名と企業名を結びつけられない事が想定される場合
→ 企業認証型、 EV 証明書を検討
→ ユーザが、サイト ( ドメイン ) とその運営企業を紐付け可能に
*.sony.co.jp に企業の実在性確認は本当に必要 ? ( まぁ、場合によっては ...)
証明書単体ではこれくらいしか考慮事項がない。。。

証明書ベンダが独自に証明書使用サイトへの付加価値を提供
? 証明書ブランド力や認知の向上によるサイトイメージの向上
? 安全をアピールするためにサイトに掲載するマーク ( シール ) の提供
? マルウェアスキャン機能
? 脆弱性スキャン機能
? サーチエンジンへのマーク ( シール ) の掲載

SSL のシール達


SSL サーバ証明書：コンバージョンへの効能 - マルウェアスキャン -
VeriSign が EV 証明書等上位の証明書にバンドルする機能。定期的にマルウェアスキャンが実
行され、問題ない場合には「 VeriSign Trusted 」と書かれたシールになる

マルウェアスキャンが有効になっていて問題があればシールの表示が「 VeriSign Secured 」になる。シール
をクリックする事でも結果の確認が可能。
※ 「 VeriSign Secured 」だからと言ってマルウェアに感染しているわけではない。
スキャンを有効にしていない場合やそもそもバンドルされていない場合など

SSL サーバ証明書：コンバージョンへの効能 – 脆弱性スキャン -
VeriSign が EV 証明書等上位の証明書にバンドルする機能。定期的に Web 脆弱性スキャンが
実行され、問題があった場合には管理者に通知される。

問題が発見されても、脆弱性がある事がばれないようにシールの見え方には変化は無い。誤検
知の可能性もある。


SSL サーバ証明書：コンバージョンへの効能 – シールインサーチ (1) -

VeriSign(Symantec) の EV 証明書を使い、 VeriSign のシールをサイトに掲載するとサーチエン
ジンに VeriSign や Norton のマークが表示される機能

IE + Google + Norton360 の場合
プラグイン型は Norton 以外にも AVG 、ソースネクストが提供


SSL サーバ証明書：コンバージョンへの効能 – シールインサーチ (2)-

VeriSign(Symantec) の EV 証明書を使い、 VeriSign のシールをサイトに掲載するとサーチエン
ジンに VeriSign や Norton のマークが表示される機能

goo 、 biglobe search 、 OCN ウェブ検索の場合にはブラウザプラグイン不要

シールインサーチ機能で
Google 、 Yahoo! 、 bing 、 goo からの流入数が平均 6.6 ％向上
https://www.verisign.co.jp/press/2012/pr_20120301.html


目次

?SSL って ?
?SSL 注意点


SSL サーバ証明書：選定基準 - 種類別 -
証明書種別ケース理由

ドメイン認証型 Web サービス (server to server) サーバ間通信にグリーンバーもなにもない

フィーチャーフォン用サイト SSL 、非 SSL 以上の判別は難しい。ブラウザが EV 非対応。

認知度、信頼度充分のドメイン www.meti.go.jp に実在性確認が本当に必要 ???

プライバシー情報の送信が無い SSL すら不要かもしれないけれども

とりあえず SSL であれば何でも良い企業認証型を導入しても費用対効果が見込めない場合

検証用社内テスト環境に。オレオレ証明書で小細工するくらいなら 1000 円もしないので買っ
たほうが手っ取り早い

個人のサイト他の選択肢が無い

企業認証型思いつかない企業の実在性認証がどうしても必要であれば、安い EV を検討したほうが。

EV プライバシー情報の送信ブラウザのグリーンバーに企業名表示でで安心感アップ

サイト運営組織の実在性をアピールブラウザのグリーンバーに企業名表示でで安心感アップ

コンバージョン率を高めたいブラウザのグリーンバーに企業名表示でで安心感アップ

EV(VeriSign) コンバージョン率を最高に高めたいシールインサーチやマルウェアスキャン、脆弱性スキャンといった付加価値狙い

セキュリティを確保?アピールしたいブランド力や、マルウェアスキャン?脆弱性スキャンといった付加価値狙い


SSL サーバ証明書：選定基準 – ベンダ別 -
?価格
? FQDN 課金か、サーバ台数課金か
GeoTrust 、 GlobalSign は FQDN に対する課金、 VeriSign 、 CyberTrust はアクティブな Web サーバ台数に対す
る課金
? 後発ベンダは安さで勝負
?信頼性
? 不正な証明書が発行されると。。。
オランダの DigiNotar 社は、システム不正侵入により不正な SSL 証明書を発行していことが 2011 年 8 月に発覚
。
各ブラウザベンダは DigiNotar が発行した証明書をすべて無効化。その後 DigiNotar は倒産。
? 各証明書ベンダは CPS( 認証局運用規程 ) の形でどう認証局を運用をしているか公開
ただ、一般の人が内容を理解するのはかなり難しい。。。
?ブランド力
? どの画像があるサイトに安心感を感じますか ?

金融系の企業は何故同じ暗号強度を持つ証明書なのにあえて高い方を選んでいるのか ?
我々や皆様が運営するサイトは ...?
Copyright ? 2012 M3, Inc. All rights reserved.
結局は費用対効果、何かあったときのリスクをどう捕らえるか 37

目次

?SSL って ?
?SSL 注意点


SSL サーバ証明書：安く買う方法

同じ商品でも値段が異なる

?FQDN 課金か、 Active サーバ台数課金か
?直販は基本的に一番高い ( 大量購入等の場合には例外有り )
?パートナー（販社 ) からの購入が若干安い ( ライブドア SSL など )
?ドメイン認証型は海外のサイトで直接購入すると安い
?企業認証や EV は海外ベンダのパートナーからの購入が安い
? 発行期間や導入サポートは未知数
?企業認証や EV で、 1 ヶ月も猶予がない場合は日本法人からの直販か日本法人のパートナーか
らの購入が確実
?サーバへのインストール等技術的に詳しい人がいない場合にも日本法人からの直販か日本法人
のパートナーからの購入が確実


SSL サーバ証明書：安く買う方法 (2012/3/5 現在 )

?ドメイン認証型
RapidSSL
GeoTrust と共通のルート CA に繋がるので携帯カバー率も VeriSign に次ぐ高さ (95.7%) 。
https://www.rapidsslonline.com/
サーチエンジンで “ rapidsslonline cheap” で検索した結果から行くと。。。 !?
1FQDN あたり、 1 年： $9.5 ～ 5 年： $35( 日本法人直販なし )

?企業認証型
GeoTrust トゥルービジネス ID
http://valuessl.net/products/truebizid.php 等 ( 何故かどこも値段が一緒 )
1FQDN あたり 1 年： 17,850( 定価 57,500)
※ 購入未検証


SSL サーバ証明書：安く買う方法 (2012/3/5 現在 )

?EV
Geotrust True BusinessID with EV
http://www.e-ssldirect.com/product/true_businessid_ev.php
1FQDN あたり 1 年： 59,800( 日本法人直販なし )
※ 購入未検証

?EV(VeriSign)
※ サーバ台数課金なので、 Web サーバが 10 台あれば x10 の費用が必要
Secure Site with EV
http://valuessl.net/products/securesiteev.php
サーバ 1 台あたり 1 年： 103,950( 定価 170,100)
※ 購入未検証

※RapidSSL 以外の格安購入は試した事がないので自己責任でお願いします m(_ _)m


目次

?SSL って ?
?SSL 注意点
?おまけ


おまけ

あまりお金をかけずにコンバージョン率向上を狙えるかもしれないプラン !?

?RapidSSL 証明書 (1FQDN あたり、 1 年間： $9.5 　～　 5 年間： $35)
?VeriSign Trust Seal (1FQDN あたり、 1 年間： 39,600 + 税 )
の組み合わせがコスパが高いかも。

?VeriSign Trust Seal とは企業の実在性確認 + マルウェアスキャン + サイトシール。
SSL とは無関係
?通信の暗号化はドメイン認証型 SSL 証明書で、組織の実在性確認はベリサインに。
さらにマルウェアスキャン＋シールインサーチの恩恵に与れる
?ブラウザのグリーンバーが欲しければ、 FQDN 課金の EV 証明書でも


狠狠撸

コンバージョンに効く!?厂厂尝サーバ処方笺

More Related Content

コンバージョンに効く!?厂厂尝サーバ処方笺