SSL対応は無料なのか有料なのか
料金がかかるケースと請求された時の確認事項
- 2023.07.19
- 2023.01.26
ホームページ制作において、設定項目といいますかやっておくべき事、これは必須で対策しておくべき事というのは多々ありますが、その中の1つが、今回のSSLではないかと思います。
数年前であればまだまだ対策に時間や作業、費用といったハードルが高かったSSLですが、今の時代ではもはやSSLに対応してhttpsで運用するホームページというのは当たり前という時代になっていますし、対応費用も今では無料で自動的に対応してくれるところも増えてきました。
しかしながら、そもそもSSL対応には色々なパターンがあり、無料で出来るものもあれば有料で費用がかかるものまで種類があり、なおかつ制作会社によってはそこで利益を取るといった事業にしているところもゼロではありません。
今回はそんなSSLについて、簡単なおさらいと、無料と有料の違いや、もし今SSLの対応に費用がかかっていて、それが想定外や有料でなくて良いと感じるなら何をどうチェックするかなどについてをまとめています。
そもそも今は「常時SSL」が当たり前の時代
SSLとは簡単に一言で言ってしまえば、インターネット上の通信を暗号化する技術という事になります。昔であれば、特に個人情報を入力したり、クレジットカードの番号などを入力する場合でなければ特に通信が保護されていなくても問題ないという考えだったこともあり、カート周り、フォーム周りのみSSL通信で接続されていました。
しかしながら、昨今では、技術の発展などや広告系の技術などもあり、誰がどのページを見てどんなキーワードで調べてきているのかなど、様々な情報が取得されるようになったことや、個人情報の重要性などが高まったこともあり、全ての通信を保護した方が良いのではという流れが広がりました。
そのため、今現在では全てのページがSSLで接続され通信されているのが望ましいとされ、「常時SSL」と呼ばれています。
SSLの意味と役割は2種類あることを知っておこう
そもそも、SSLには2種類の意味・役割があります。
- 通信・情報の暗号化
- サイト(ドメイン)の所有者の証明
1つめの通信や情報の暗号化はわかりやすく、要は今、このブログなどを見るための通信を暗号化して、仮に外部の人が見てもわからなくするという事です。
極論、暗号化していなければ、入力した時に、「いただき 太郎」と入力して送信したのを、盗み見られた場合、「いただき 太郎」と認識できてしまいますが、SSL接続で暗号化されていれば、適当な例ですが、「J!Q_G(*)E~[POJ_)~」といったように読めないように暗号化がされているので、仮に盗み見られたとしても内容はわからず安心です。
同じように、サイト・ドメインの所有者の証明というのは、その名の通りで、技術的なことはさておき、SSLを申請した人がこのドメインの所有者ですよ。というのを証明するものになります。
ドメイン所有者の証明には「DV」「OV」「EV」の3種類ある
ここではどれがどうという事は解説せず(このサイトを見ている人で上記を必要として求める方は実際には少ないはずです)、そういったものがあるというのを知っておきましょう。
ただ、ここの所有者の証明というところが、SSLの大事なところになってくるポイントであり、これが、後述するなぜ無料と有料のSSLがあるのかなどにも繋がっていきます。
ドメインの所有者の証明ということで、このドメインを使っている人と、SSLの証明を申請した人が同じ人という事になるため、要は成りすましなどを防ぐという意味で使われる事が多いです。
SSLの無料と有料の違い
先ほど説明したように、SSLには3つの種類があります。
それぞれが何でどうかという意味をしっかり覚える必要は全くないのですが、種類によって、出来る事、出来ない事、無料なのか有料なのかなどから導入までの手順や大変さなども大幅に変わります。
DV認証
これがいわゆるドメイン認証と呼ばれるもので、一番簡単で手軽に導入できるSSLになり、ほとんどのサイトで使われていて、SSLと言うとこの認証を意味していることが多いのではないかと思います。
実際このサイトもそうですし、クライアントのサイトでもほとんどがこのドメイン認証と呼ばれるタイプのSSLになります。
DV認証の中でも最も手軽で多いのが無料でできる「Let’s Encrypt」
そして、このSSLの中で最も多く導入されているのがこのLet’s Encryptという無料のSSLです。無料でSSLが導入できます。というケースはほぼこれ一択と言っていいほどではないでしょうか。
導入するためのコストがかからず、全自動で導入ができるようになっため、サーバー側でもドメインの取得と同時にSSLも用意してくれ、更新も基本は自動でやってくれるところも今では多々増えています。
但し、Let’s Encryptは所有者の証明としては最低レベル
SSLの役割として、ドメインの所有者が、サイトの運営者であるという役割を担う面があると記載しましたが、このLet’s Encryptでは、その証明というのがほとんど意味をなさないものになってしまいます。
というのも、本来であれば、そのドメインの所有者が本物で、SSLの申請をしている人というのを、別の第三者の機関(CA)が証明していくものになるのですが、Let’s Encryptでは第三者機関の証明がなくいわば自己申告みたいなものになっています。
Let’s Encrypt以外は基本有料と考えておくと良い
SSLが無料か有料かという違いは、極論を言えば、Let’s Encryptか否かにかかってくることがほとんどです。
ドメイン認証タイプでも、第三者機関的なところにドメインの認証をしてもらう証明だと、当然ながらその外部の機関に支払う費用が必要になってくるため、SSLの導入に費用がかかってきます。
その分、代わりにサイトシールといった第三者機関が認定しましたといったようなバナーをサイト上に貼り付ける事ができたりといった特典があったりもしますが、無料か有料かの違いは、このLet’s Encryptを使うか、別の第三者機関の認証を使うかというところになります。
OV認証:企業認証
ドメイン認証はそのドメインの所有者が、SSL申請者であることの証明という意味合いでしたが、一方で、このOV=企業認証では、そのドメインを管理している企業や団体などが、実際に存在していることを証明するものになります。
ドメイン認証では、当然ながらドメインに対してだけですが、企業認証では、実際にそのドメインを管理している企業や団体がきちんとあるのかという存在を、第三者機関が証明してくれるものになります。
確認などは登録情報を調べたりして電話がかかってきて話をして間違いがないかなどを確認して問題なければ証明書が発行されるといった流れになります。
要は、きちんとしたそういった第三者機関に費用を支払い、このドメインを使っている自分たちの会社は存在していることを証明してください。という事でもありますので、当然ながらより費用は高額になっていきます。
EV認証:最高級の認証
その一方で、このEV認証というのは、企業認証のように存在確認だけではなく、実際にその所在地に本当にその企業や団体が存在しているのかといったところまで、書類などを送付して登録住所が正しいかなどを確認して証明してくれる、いわばSSLにおける最高級の認証になります。
ただ実際これをする必要があるのは、名前が知られたところだったり、銀行など金融関係など、最高レベルのセキュリティなどが必要なサービスを提供しているところに限られてくるものになりますし、費用もSSL導入費として見た場合に相当な費用がかかってきます。
必要なSSLの証明レベルはサービスによって変わる
結局のところ、SSLには様々な種類があり、どのSSLが必要かというのは当然ながら企業規模や提供サービスなどによって変わってきます。
極論を言えば、一般的な企業のブログで、最高級のそこに企業がきちんと存在する証明が必要かと言われると、全くもって不要でしょうし、Let’s Encryptで十分ですし、逆に高額な金額を扱うようなサービスを扱ったりするところであれば、必要になってくる可能性はあります。
自分たちのサービスに照らし合わせて、必要なSSLのパターンを選んでいくのが良いと言えます。
同じ証明書レベルでも第三者機関の質で価格は変わる
SSL証明の種類は3種類ありますが、その証明をしてくれるいわば第三者機関的なところは複数存在しています。
イメージしやすい例を言えば、家のホームセキュリティを頼むとして、著名名ところで言えばセコムもあればALSOKもあり、それら以外のもう少し費用を抑えたところなどもあったりするのと同じイメージです。
証明書もどこの証明書を取得するか、それこそ中小規模のところから、世界的に著名なところまであり、当然ながらどこに証明をしてもらうかというのでも料金は大きく変わってきます。
現状のSSLはLet’s Encryptでの導入が圧倒的多数
SSLの証明レベルには種類があり、どのタイプを導入するかはサービスなどによって考えると書いてはいますが、実際問題、今現在の実際の状況として書かせていただくと、ほとんどのサイトで使われているのは、無料で導入できるLet’s Encryptであることがほとんどです。
というのも、SSLの導入が進んだ背景としては、GoogleがSSLを推奨しそれがSEOにも影響するといった流れが生まれつつも、当時はLet’s Encryptを導入するにも、自分で証明書のインストールなどをしなければならなかったところ、主要なレンタルサーバー側が、顧客獲得のためLet’s EncryptのSSL証明なら、自動インストール&自動更新をボタン1つで出来るシステムを整えてくれたので、ドメイン取得とワンセットで導入できるようになり、無料でSSL対応が簡単に出来るようになったためという背景があります。
実際ほとんどのサイトではLet’s Encryptで済ませていますし、企業型の認証タイプのSSLを取っているところは極少数と言えるレベルです。
実際、弊社のお客様の中でも有料タイプのドメイン認証タイプを使っているところですら数割、企業認証タイプのSSL認証となってくると、数社いるかいないかというレベルになってくるほどです。
通販サイトや会員情報を取り扱うなどで、ユーザーに少しでも安心感を伝えたいといった理由などで、SSL証明書のバナーをサイト上に見せる事ができるのが望ましいということで、そういったところを使う方もいらっしゃいますが、実際にはほとんどの場合では無料のSSLでもあるサーバー側が用意してくれているLet’s Encryptを導入しているケースがほとんどですし、実際それで十分なことがほとんどです。
制作会社からSSL関連で費用を請求されていたら
ここからが実際に書きたかった本題で、導入的なところが長かったですが、制作会社にホームページ制作を依頼したり、管理をしてもらっていたりなどをしていて、このSSL関連の費用が請求されていたら、どうしたらいいか。というのを最後にまとめておきます。
まずは費用とどのSSL証明かを確認
費用が請求されていたら、当然、それがいくらなのかというのも大事なのですが、それだけではなく、それと合わせてどういうSSL証明を使っているのかというのを確認する必要があります。
無料のLet’s EncryptのSSLなのか、それともドメイン認証タイプなのか、企業認証タイプなのかなどそれによって当然コストが変わってきます。
使っているサーバーを確認
実はSSLというのは、使っているサーバーによって左右されてしまいます。
SSL証明をしてくれる機関・会社というのは複数あり、どこのSSL証明を使うのかというのはサーバー会社によって変わってきます。
もっと言うと、その導入手順や作業の必要性などもサーバー会社によって大きくことなります。
そのため、Aというサーバーでは使えるSSLを証明する会社も、Bというサーバーではそこに対応していないというケースもありますし、A社では、次へ、次へなどクリック+αで設定できるのに、B社では自分で証明書を取得してサーバー上でインストールしなければならないといったことも起こりえます。
Let’s Encryptも非対応のサーバーもある
今はもうなくなってきましたが、老舗のサーバーなどでは、Let’s Encryptの無料のSSLにそもそも非対応というところも少なからず存在していますし、無料のLet’s Encryptに対応しているけど、設定などは全て自己責任で自分たちでやってねというサーバーも存在します。
どの証明タイプ、そのサーバーでいくらなのかを照らし合わせる
結局のところ、SSLでかかる費用というのは、その証明がLet’s Encryptの無料でない証明書を使っているのであれば、そもそものSSLの証明書を取得するための費用というのが実費としてかかりますので、その上で、制作会社が費用を取っているのか否かという点がポイントになってきます。
逆に、Let’s Encryptの無料の証明書を使っているのに、費用が取られているというケースであれば、そのサーバーがSSLの導入に手間がかかるタイプなのか、自分たちで設定や管理をして更新もしていく必要があるのかなど、使っているサーバーのタイプによって変わってきます。
自動でSSL対応がされているのに請求されるなら要注意
一番要注意というか気をつけなければいけないのが、Let’s Encryptの無料のSSL証明書でのSSL対応で、さらにはサーバー側がほぼ自動で設定してくれるタイプにも関わらず、SSLの設定費や管理費や更新費などとして費用が請求されているなら、要注意というか見直した方が良いかもしれません。
非ITや非ネット系の仕事をされている方からしたら、SSL=有料と思っていたりする事もまだまだ多いです。実際に弊社のお客様の1社では、リニューアル前の相談時に色々と確認していくと、SSL取得・設定費として年間12万円を請求されているにもかかわらず、調べたら無料のLet’s Encryptでサーバーが自動更新してくれるタイプだった。というケースもありました。
制作会社的にそこで費用が取れるのは美味しいという気持ちはわからなくはないですが、せめてインストール作業や更新作業が発生した時くらいで、ほぼ自動で設定されるものを隠して請求する制作会社は、やはり良い制作会社とは言いがたいところもありますので、そういった場合は注意しましょう。
まとめ
SSLというと知ってる人からすると、無料でできるようになったし楽になったねーと言われるものですが、まだまだ知らない人たちからすると、有料でお金が掛かるものだしと知らないまま無料のSSL証明なのに高額請求されているというケースも少なからずあったりします。
そのために、SSLには証明書の種類があり、それによってどんな違いがあるのか、サーバーによってそれらのうちどれを使う事ができるのかも変わってくるといった事を知っておくと、今の制作会社の対応がどうなのかというのもわかりやすくなります。
とはいえ今の時代のほとんどは無料のSSL証明書を使っているところがほとんどで、それで十分とも言えるところもありますので、SSL対応は使ってるサーバーが特殊なところでない限りは、無料対応もしくは、費用がかかったとおしても少額というのが制作会社側から見ても一般的ではないかなと感じます。
SSLについてもし制作会社から結構な額を請求されていたりしたら、一度チェックしてみましょう。