(注:ネットワークセキュリティコミュニティから貴重なフィードバックを受け取った後、この記事を編集して視点を明確にし、主なものから気を散らす小さな問題、つまり、SSL証明書による検証の重要性とユーザーに何を説明する必要があるかを削除しましたSSL認証の自動化分野の発展により、アドレスバーに「https」という文字が表示され、ロックの画像が表示されるようになったため、以前のようにセキュリティを示すことができなくなりました。 しかし、私たちはそれを聞いており、問題を議論するために常に開いています。)
Namecheapは、すべてのユーザーにセキュリティとデータ保護を提供することに重点を置いています。 SSL証明書の自動発行によってほとんどすべてのWebトラフィックを暗号化する傾向は、インターネット上で前向きな変化であると考えています。 すべての関係者の利益のために、MITM攻撃およびデータを傍受するその他の試みの防止。 これは議論の余地のない事実です。 ただし、暗号化とセキュリティには大きな違いがあります。 これは上級ユーザーや専門家にとってはささいなことのように思えるかもしれませんが、消費者にとってはこれは関連情報です。
証明書の所有者を確認することは、特別な注意と議論を必要とする重要な問題だと思います。 SSL証明書の発行を自動化する分野における最近の開発は、技術的に驚くべきものです。 ただし、新しいセキュリティモデルの詳細と、セキュリティを決定する際にどの信号を探すべきかをユーザーに説明する必要があります。 アドレス「https」の文字とロックの画像、つまり従来は信頼性が高いと考えられていたインジケータを検索すると、ユーザーの安全性に関してはすでに信頼性が低い場合があります。
第三者による証明書の検証と失効の意義
有料のNamecheap証明書を使用して、ユーザーは検証確認と暗号化の両方を受け取ります。 基本的な確認は、クレジットカードでの支払い時に行われます。 次に、認証局は、発行する前にサードパーティの関与により、さまざまなAPIを介して追加のドメインセキュリティ検証を実行します(これは、提供する最も安価なドメイン検証証明書-DVを発行する場合でも発生します)。
さらに、違法行為や証明書詐欺に関する情報を受け取るたびに、Namecheapは認証局と協力して疑わしいサイトを調査します。 多くの場合、証明機関は証明書をすぐに取り消すための措置を講じます。 このサードパーティのリコールの機会は非常に重要です。 証明書を発行した後、追加の保護レベルを提供します。
自動化された証明機関の証明書は、通常のデータを暗号化する機能をユーザーに提供する必要がある個人用およびその他の非営利サイトに非常に役立ちます。 ただし、商取引、インターネット経由でビジネスを行うとき、個人データを転送するときなど、情報に高度な保護が必要な状況になると、消費者が必要とするレベルのセキュリティを確保するには、追加の検証レベルが重要であると考えています。 有償の組織検証(OV)および高度な検証(EV)証明書には多くの追加レベルの検証が必要ですが、自動証明書は所有権の証明のみを提供します。
これが主な違いです。 有料SSL証明書の真価は、証明書の所有者が本人であることを確認することであり、申請の送信元のドメインを管理しているだけではありません。 検証の2番目の段階でOV証明書を発行する場合、関連する州当局(たとえば、ライセンス、証明書、チャーター、税務許可)から文書が要求されます。彼が主張するもの。 EV証明書は、第三者によるさらに厳しい検証の後に発行され、認証された人にさらなる信頼を提供します。
信頼の構築に関しては、検証が決定的な要因です。 ユーザーは、当社サイトのセキュリティ分野で権威あるブランドの保護の印を見ると、信頼性の追加指標を持っています。 会社はデータ暗号化を提供するだけでなく、評判の良いサービスプロバイダーによってさまざまなソースで検証されていることを示しています。 さらに、最新の変更を考慮に入れて、安全性を確保する決定を行う際に信頼できる保護指標を決定するには、ユーザーとの追加の説明作業が必要であると考えています。 これに対する責任の一部は、確かにブラウザが負担しなければなりません。 ただし、自動化されたSSL証明書発行サービスを含め、誰もがある程度の負担を負わなければなりません。
有料SSL証明書で信頼性を発表
ブランドサービスによって発行されたSSL証明書は、商用サイトが必要とするレベルの保護、柔軟性、およびサポートを提供します。 従来の認証機関は、最大3年間証明書を提供します。 ワイルドカード証明書をサポートし、保証を提供し、実装をサポートします。 自動化されていない証明機関と共同で、ドメイン検証(DV)に加えて、組織検証(OV)および高度検証(EV)のさまざまな検証レベルから選択できます。 OVおよびEV保護レベルでは、証明書を発行する前に、認証センターはサイトに関連する企業の広範な監査を実施し、不正または悪意のあるアクティビティが検出された場合も迅速に対策を講じます。 サポートも重要な側面です。 有料サービスのみが顧客サービスとサポートを継続的に提供します。
無料の証明書は、個人のブログや、金融取引が行われず、機密データが収集されない他のシンプルなサイトに最適なオプションです。 ただし、電子商取引に従事する企業や、一定レベルの保護と信頼性が必要な顧客データを収集する企業は、有名で信頼できる認証機関が発行したOVまたはEV SSL証明書を当然使用する必要があります。 これらの製品は、暗号化だけでなく、ビジネスおよび商業サイトがユーザーの安全を確保するために必要な暗号化、検証、および信頼性のレベルを正確に提供します。