ジョージの結論(30秒で分かるSSL証明書)
ノリ子「じゃあhttpsなら、もう安心ってこと?」
ジョージ「通信は守られる。でも会社が本物かどうかまでは分からない。」
シン「問い合わせフォームがある企業サイトは?」
ジョージ「その場合はOV(企業認証)が無難だ。」
ノリ子「無料のSSLってどうなの?」
ジョージ「Let’s Encryptは有力。ただし更新忘れは即トラブルだ。」
ジョージ「DV・OV・EVの違いは暗号の強さじゃなく“確認の厳しさ”。用途に合わせて選べばいい。」
登場人物
ジョージ
セキュリティコンサルタント
ノリ子
Webサイトでのお買い物大好き
シン
Web制作会社のディレクター
1. なぜ今、すべてのWebサイトでSSL(https)が必要なのか
httpのままだと何が起きる?
ノリ子「ジョージ!ショッピングサイトに“保護されていない通信”って出てる!」
ジョージ「それは通信が暗号化されていないか、正しい接続先だと確認できていない状態なんだ。」
http通信では、入力した情報やCookieが第三者に盗み見られたり、通信内容が改ざんされるリスクがあります。 特にログイン、問い合わせ、資料請求、決済など「入力が発生するページ」は、httpのままだと危険度が一気に上がります。
・社外Wi-Fi利用時にセッションが盗まれる(Cookieが狙われる)
・http→httpsへの移行時に「混在コンテンツ(Mixed Content)」が残り、フォームや画像が警告対象になる
・リダイレクト設定が不完全で、httpが生き残り“警告が出る入口”が残る
ブラウザ警告と「常時SSL」の考え方
・検索ワードやCookieも暗号化対象
・フィッシング被害の増加(「それっぽい偽サイト」が普通に作られる)
・その結果、全ページhttps(常時SSL)が事実上の標準
ジョージ「httpsにすれば、通信が暗号化され、正しいドメイン向けの通信であることを証明できる。」
ただし重要なのは、httpsは“万能の安全マーク”ではないという点です。 httpsは「通信を暗号化している」「そのドメイン向けの証明書が設定されている」を示しますが、 サイト運営者が“本当に信用できる会社か”までは自動で保証しません。
2. SSL証明書の種類と違い(DV・OV・EV)
シン「つまり…SSL証明書って“種類の違い”が大事なんですね?」
ジョージ「その通り。ここを押さえると、選定が一気にラクになる。」
DV(ドメイン認証)とは
ドメインの管理権限のみを確認するSSL証明書です。無料SSL(Let’s Encrypt)もこのタイプです。 発行が速く、常時SSLの第一歩として選ばれやすい一方、証明書から分かるのは基本的に「ドメインの一致」です。
OV(企業認証)とは
ドメインに加え、企業・組織の実在性を第三者機関が確認します。問い合わせフォームや企業サイト向けです。 BtoBでは「取引前の安心材料」として説明しやすく、情シス・法務・監査の合意形成にも向きます。
EV(EV認証)とは
より厳格な基準で企業・組織を確認します。金融・決済など高リスク用途で検討されます。 ただし近年は、EVでもブラウザ上で以前ほど目立つ表示がされません。 「見た目で差別化できるからEV」という期待で選ぶと、ギャップが出やすい点は注意です。
暗号の強さは同じ?よくある誤解
ジョージ「DV・OV・EVで暗号化の強さは同じ。違うのは“どこまで本物か確認するか”だ。」
・DV:ドメイン確認(まずは常時SSL)
・OV:企業の実在性まで確認(BtoBサイトやフォームに強い)
・EV:より厳格(高リスク用途で検討、ただし表示仕様は要確認)
3. 「どれを買うか」だけじゃない:証明書の“対象範囲”でも選び方が変わる
ノリ子「DV/OV/EVは分かったけど、証明書って“1枚で何でもOK”じゃないの?」
ジョージ「いい質問だ。ここを見落とすと“導入したのに警告が出る”が起きる。」
単一ドメイン/ワイルドカード/マルチドメイン(SAN)の違い
- 単一ドメイン:example.com や www.example.com など、対象が限定される
- ワイルドカード:*.example.com のようにサブドメインをまとめてカバー(例:blog / shop / contact など)
- マルチドメイン(SAN):複数ドメインを1枚でまとめる(例:example.com と example.jp を同時に)
・サブドメインが増える予定 → ワイルドカードが運用しやすい
・複数ブランド/複数ドメインをまとめたい → SANが候補
・ただし“まとめすぎ”はリスク:1枚で障害が起きると影響範囲が広い
4. SSL証明書の価格と無料SSL(Let’s Encrypt)の考え方
有料SSLと無料SSLの違い
シン「EVは高そうですね…」
ジョージ「審査が厳しいほど価格は上がる。一方で無料SSLも選択肢だ。」
費用差が出る主な理由は、暗号が強いからではなく、審査・サポート・運用体制に差があるためです。 「社内に運用できる人がいるか」「更新作業を自動化できるか」で、最適解は変わります。
Let’s Encryptを使うときの注意点
・自動更新が必須
・更新忘れ=即警告表示(売上・問い合わせに直撃)
ジョージ「無料SSLは“無料だから危険”じゃない。危険なのは運用が属人化して更新が止まることだ。」
5. SSL証明書は利用者も確認できる
Chrome・Edgeでの確認ポイント
シン「利用者はSSL証明書を確認できるんですか?」
ジョージ「アドレスバーの鍵マーク(またはサイト情報)だ。」
- 有効期限:切れると強い警告が出やすい
- ドメイン一致:閲覧中のURLと、証明書の対象(CN/SAN)が一致しているか
- OV/EVの場合の組織情報:企業名が確認できる場合がある(表示方法はブラウザで異なる)
EV証明書の表示が変わった点
以前のようにEV証明書が目立つ表示はされません。過度な期待は禁物です。 「EVにすればユーザーが一目で気づく」という設計より、ユーザー導線と社内運用を確実にするほうが効果が出ます。
6. http→https移行の手順(常時SSLの段取り)
シン「証明書を買ったら終わり…じゃないですよね?」
ジョージ「HAHAHA!ここからが本番だ。移行の段取りを間違えると、警告が出たり検索評価がブレたりする。」
ステップ1:対象ドメインを洗い出す(ここをミスると警告が残る)
- 対象は「example.com」だけ?それとも「www.example.com」も?
- 「blog.example.com」「shop.example.com」などサブドメインはある?
- 別ドメイン(example.jp など)も同時に運用している?
ジョージ「ドメインが増える予定なら、ワイルドカードやSANも最初に検討しておくと二度手間が減る。」
ステップ2:証明書の取得・設置(本番前にテスト環境で確認)
- Webサーバー(またはCDN/ロードバランサ)に証明書を設置
- 中間証明書(チェーン)も含めて設定(不備があると端末によって警告が出る)
- TLSの設定(古い暗号スイート無効化など)を標準推奨に寄せる
ステップ3:全ページをhttpsで閲覧できる状態にする(常時SSL)
「ログインやフォームだけhttps」ではなく、画像・CSS・JavaScriptも含めてすべてhttpsに揃えます。
httpsのページ内で、画像やJSがhttpのままだと「保護されていない要素がある」と警告対象になります。
→ 埋め込みURL・外部スクリプト・画像パスをhttpsに統一します。
ステップ4:301リダイレクトでhttp→httpsに統一する
検索・ブックマーク・外部リンクからの流入は、しばらくhttpが混ざります。
httpアクセスは301でhttpsへ転送し、入口を一本化します。
ジョージ「“httpが残ってる入口”は、ユーザーにも検索にも不利だ。全部httpsへ案内してやるんだ。」
ステップ5:サイト内リンク・計測・外部連携を更新する
- サイト内のリンクURLをhttpsへ
- フォーム送信先、API連携、外部タグ(広告・解析)をhttps対応に
- Google Search Consoleや解析ツールの設定もhttps側を正として確認
ステップ6:更新・失効対策(運用設計)
- Let’s Encryptの場合は自動更新を前提にする
- 更新失敗を検知する監視・通知を入れる(期限切れは信用に直撃)
- DNSやサーバー権限が「担当者だけ」にならないようにする
7. よくある質問(FAQ)
Q1. 無料のLet’s Encryptだけで十分ですか?
ジョージ「多くのサイトは十分だ。特に“まず常時SSLを完了させたい”なら最有力。
ただし自動更新と更新失敗の検知までセットで設計しないと、期限切れで警告が出て一気に信用を落とす。」
Q2. DV/OV/EVで暗号の強さは変わりますか?
変わりません。違うのは発行前の確認(審査)の厳しさです。
DVはドメイン確認、OVは企業実在の確認、EVはさらに厳格な確認を行います。
Q3. 会社の信用を示したいなら、どれが良いですか?
シン「BtoBの問い合わせフォームって、信用が大事で…」
ジョージ「ならOV(企業認証)が分かりやすい。“この組織が実在する”確認が入るから、社内外に説明しやすい。」
Q4. EVにすれば、ブラウザで目立って表示されますか?
以前ほど目立ちません。現在のブラウザでは、EVでもアドレスバーに常時強調表示されないケースがあります。
そのため、EVは「見た目の差別化」よりも「高リスク用途での厳格な確認が必要か」で判断するのがおすすめです。
Q5. ワイルドカード証明書とSAN(マルチドメイン)はどう選ぶ?
ジョージ「サブドメインが増えるならワイルドカード。複数ドメインをまとめたいならSANだ。
ただし“まとめすぎ”は事故った時の影響範囲が広い。運用とリスクのバランスを見て決めよう。」
Q6. http→https移行で検索順位は落ちますか?
手順が正しければ、通常は大きな問題になりにくいです。重要なのは、301リダイレクトで統一し、 サイト内リンクや計測設定もhttpsへ揃えること。混在コンテンツが残ると警告や品質低下につながります。
Q7. 証明書の期限が切れるとどうなりますか?
ノリ子「期限切れって、そんなにまずいの?」
ジョージ「かなりまずい。多くのブラウザで強い警告が出て、ユーザーが離脱する。
ECやフォームなら“機会損失”が直撃するから、更新を自動化して監視も入れよう。」
8. 用途別おすすめSSL証明書(ジョージの比較表)
シン「一目で分かる表、欲しいです!」
ジョージ「よし、目的別に“迷わない表”を置いておこう。」
| 種類 | 向いている用途 | ジョージの一言 |
|---|---|---|
| DV | ブログ/オウンドメディア/社内/まずは常時SSL | 迷ったらまずコレ(運用自動化がカギ) |
| OV | 企業サイト/問い合わせフォーム/資料請求(BtoB) | “会社の実在性”を説明したいならコレ |
| EV | EC/金融/決済/会員制(被害インパクトが大きい領域) | 高リスク用途向け(表示仕様の期待は調整) |
9. 情シス向け:導入・更新でつまずかないチェックリスト
ノリ子「更新って忘れたらどうなるの…?」
ジョージ「“警告が出る”だけじゃ済まないこともある。だから最後にチェック表を置いておく。」
□ 対象ドメイン(www有無/サブドメイン/別ドメイン)を洗い出した
□ ワイルドカードやSANが必要か判断した
□ http→httpsのリダイレクト方針を決めた(301推奨)
□ 混在コンテンツ(httpの画像・JS・CSS)を解消する計画がある
運用チェック(ここが事故りやすい)
□ 更新手順が自動化されている(担当者依存になっていない)
□ 更新失敗時のアラート(監視)がある
□ 証明書更新後の動作確認手順がある(本番反映→確認まで)
□ 失効・期限切れ時の緊急連絡先/権限(DNS・サーバー)が整っている
10. ジョージの結論|SSL証明書は「迷ったらDV」、要件が出たらOV・EV
ジョージ「最後に、この記事の結論をハッキリ言おう。SSL証明書選びで一番の失敗は、“悩みすぎて何もしないこと”だ。」
ジョージ「覚えておいてほしい。SSL証明書は“付けたら終わり”じゃない。期限切れや設定ミスは、ユーザーの信用を一瞬で失う。」
Webサイトの安全性は、閲覧者の安心感に直結します。 逆に、警告表示や証明書エラーは“不安を与える入口”になり、 問い合わせ・購入・会員登録といった行動を止めてしまいます。
「何を選ぶか」だけでなく、「どう運用するか」まで含めて考えることが、 失敗しないSSL証明書導入のポイントです。
|
SSL証明書の選定・取得・更新で不安がある方へ 証明書の種類選びから、更新・失効対策までまとめておまかせください! 
|
