Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

コンバージョンに効く!?SSLサーバ処方箋

1.880 visualizaciones

Publicado el

Publicado en: Tecnología
  • Inicia sesión para ver los comentarios

コンバージョンに効く!?SSLサーバ処方箋

  1. 1. コンバージョンに効く ?SSL サーバ証明書処方箋   2012 年 3 月 6 日 エムスリー株式会社 エンジニアリンググループ 川村昌司 Copyright © 2012 M3, Inc. All rights reserved.
  2. 2. 本日のゴールサイト運営者視点で SSL サーバ証明書について基礎知識を覚えていただく  残念なことに某社のエンジニアも意外と知らなかったり。。。→ 最適な証明書を選択出来るように•そのサイトに個人情報を送れますか ?•その証明書で実は潜在顧客を逃がしていませんか ?•証明書に無駄にお金を払っていませんか ?※ 技術的な話は出来るだけ排除します※SSL クライアント認証についても取り扱いません。 Copyright © 2012 M3, Inc. All rights reserved. 2
  3. 3. 自己紹介システム アンド ネットワーク アドミニストレータ @ エムスリー※ 本発表の内容には SSL サーバ証明書の格安購入に関して未検証の内容を含みますので、その点ご注意・ご了承ください Copyright © 2012 M3, Inc. All rights reserved. 3
  4. 4. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法 Copyright © 2012 M3, Inc. All rights reserved. 4
  5. 5. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法 Copyright © 2012 M3, Inc. All rights reserved. 5
  6. 6. SSL って ?Q. SSL(https://...) って何のためのもの ? Ans. 通信 (http) を暗号化 あれ ??? この字をよく見てください 「 SSL サーバ証明書」Ans. 通信の暗号化+サーバ証明書に記載のサイトと通信している事を証明 誰と通信しているかわからなくて、暗号化していると言えますか ? 暗号化 意図するサイトと通信している事の証 明 クライアン端末 サーバ Copyright © 2012 M3, Inc. All rights reserved. 6 ( ブラウザ )
  7. 7. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法 Copyright © 2012 M3, Inc. All rights reserved. 7
  8. 8. SSL の仕組み (PKI : 公開鍵認証基盤 ) について•SSL では公開鍵暗号方式の 1 つである RSA 暗号を使用 ( するのが一般的 ) RSA 暗号方式の特徴  秘密鍵と公開鍵のペアを使用 ( ここでの鍵とは電子データ )  このうち、公開鍵は文字通り誰にでも公開可能  一方、秘密鍵は文字通り他人に秘密にしておく必要がある  秘密鍵で変換したデータは公開鍵で元に戻る:電子署名に使用  公開鍵で変換したデータは秘密鍵で元に戻る:暗号化に使用 Copyright © 2012 M3, Inc. All rights reserved. 8
  9. 9. SSL の仕組み (PKI) について - 暗号化 - 公開鍵は誰に渡しても OK Alice Bob Chris コンバー 11111010 コンバー ジョン塾 10101000 ジョン塾 最高だね 11100000 最高だね 0101001 Bob Alice 11000 ? ? 10110 Chris 公開鍵で変換したデータを元に戻せるのは、秘密鍵をもっている Alice だけ !! Copyright © 2012 M3, Inc. All rights reserved. 9
  10. 10. SSL の仕組み (PKI) について - 電子署名 - 公開鍵は誰に渡しても OK Alice Bob Chris コンバー 10001111 コンバー ジョン塾 00000101 ジョン塾 最高だね 01110000 最高だね 0101001 Bob Alice コンバー ジョン塾Alice の公開鍵で復元可能なデータを作り出せ 最高だねるのは秘密鍵を持っている Alice だけ !!→ これは Alice が作成したメッセージだ !! Chris Copyright © 2012 M3, Inc. All rights reserved. 10
  11. 11. SSL の仕組み (PKI) について - 公開鍵証明 - でもこれって本当に Alice の 俺のかもよ ? 公開鍵かなぁ ...??? Chris 自身の公開鍵に所有者情報 ( サブジェクト ) を添えて申請 Alice 認証局が厳重に管理している、認証局自身の秘密鍵で、 信頼できる認証局 (CA) Alice のサブジェクトと公開鍵を含むデータを変換 ( 署名 ) 公開鍵証明書 誰もが信頼するあの認証局が、この公開鍵は Alice の ものと証明してくれたのだから、この公開鍵は Alice のもので間違いない!!! Chris Copyright © 2012 M3, Inc. All rights reserved. 11
  12. 12. SSL の仕組み (PKI) について – 公開鍵証明書の中身 - (1) 認証局情報、有効期間等 (3) 公開 鍵 (2)Subject( 所有者識別情報 (4) 拡張領域 ( 鍵の使用用途等を ) 認証局が追加 ) (5) 認証局の署名 Copyright © 2012 M3, Inc. All rights reserved. (1)-(4) のデータ ( のハッシュ ) を認証局の秘密鍵で 12 変換
  13. 13. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法 Copyright © 2012 M3, Inc. All rights reserved. 13
  14. 14. SSL 注意点 - Web ブラウズでの実際 ( 正常動作 ) - 証明書が正しい場合 リクエスト https://www.askdoctors.jp/この公開鍵証明書を署名した発行者 CA 証明書は私に組み込まれているから、これは正しい 証明書 ( 公開鍵 ) だよ! 暗号化通信用の暗号鍵 ( の元 ) を、サーバの公 開鍵を使って暗号化して送信 www.askdoctors.jp Bob サーバは自身の秘密鍵で暗号化通信用の鍵 ( の 元 ) を取り出す。 正しい相手との「暗号化通信」が成立 Copyright © 2012 M3, Inc. All rights reserved. 14
  15. 15. SSL 注意点 - Web ブラウズでの実際 ( 異常時の動作 ) - 証明書に問題がある場合 リクエスト https://www.ayashii- この公開鍵証明書の発行者 CA site.com/ は 私の知らない CA だよ! https://www.ayashii-site.com/ Bob 代表的な SSL のエラー •ブラウザにサーバ証明書発行者 (CA= 認証局 ) のルート証明書が入っていない •実際に接続しようとした URL のドメイン名と、証明書に記載されたドメイン名が一致しない •証明書の有効期限が切れている •証明書が失効している (CA が発行する失効リストへの記載や OCSP で失効状態 ) •Web サーバ側の設定ミス ( サーバ証明書と、 CA のルート証明書の間の証明書 ( 中間証明書 ) が設定されてい ない ) Copyright © 2012 M3, Inc. All rights reserved. 15
  16. 16. SSL 注意点 - Mixed Content -Mixed ContentURL は https:// だが、画像や css などのリソースが http:// で提供されている正しく構成されたコンテンツの場合はブラウザのアドレスバーが青や緑になるはずが、ならない動的ページでのリソースの読み込みには特に注意が必要•パスで記述 (src=“http://www.example.jp/img/foo.png” → src=“/img/foo.png”)•アクセスが https/http かをチェックして出力 ( サーバサイド、クライアントサイド )•scheme を省略した // で始まる URL を使用 (src=“//www.example.jp/img/foo.png”)  see rfc3986•全ページを https に (http は必要 ?) Copyright © 2012 M3, Inc. All rights reserved. 16
  17. 17. SSL 注意点 - どのページを SSL 化する -Q. どのページを SSL 化 すれば良い ?データ送信先ページ :当然データ入力フォーム :当然データ入力フォームの手前のページ :当然 入力フォームへ導くページが改竄されていては何も意味が無いサイト全体 :出来れば そのサイト、非 SSL で提供する必要ありますか ? 「全てを SSL で提供」を検討する事から始めてはいかがでしょうか Copyright © 2012 M3, Inc. All rights reserved. 17
  18. 18. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法 Copyright © 2012 M3, Inc. All rights reserved. 18
  19. 19. SSL サーバ証明書の種類大きく分けて 3 つ ドメイン認証型 企業認証型 EV(Extended Validation) (2007 年~ ) Copyright © 2012 M3, Inc. All rights reserved. 19
  20. 20. SSL サーバ証明書の種類 - ドメイン認証型 -特徴  ドメインを持っていれば個人でも取得可証明できる事  証明書に記載されたドメインで運営されるサイトである事証明書発行時のバリデーション  ドメイン所有者のメールアドレス到達性確認のみ購入  年間数百円~数万円  購入から発行完了まで最短数分代表的な製品ベンダ  GeoTrust( クイック SSL プレミアム , RapidSSL)  Thawte(SSL 123)  GoDaddy( スタンダード SSL)  Global Sign ( クイック認証 SSL) Copyright © 2012 M3, Inc. All rights reserved. 20
  21. 21. SSL サーバ証明書の種類 – 企業認証型 -特徴  ドメインを持ってる法人のみ取得可証明できる事  証明書に記載された法人が運営するドメインにアクセスしている事証明書発行時のバリデーション  法人の実在性確認 ( 登記簿謄本の提出等+電話確認 )購入  年間数万円~  購入から発行まで、即日~ 1 週間程度代表的な製品ベンダ  VeriSign(Secure Server ID, Global Server ID)  CyberTrust(SureServer for SSL)  GoDaddy( デラックス SSL)  GeoTrust( トゥルービジネス ID)  Thawte(SSL Web Server Certs, SGC Super Certs)  Global Sign ( 企業認証 SSL) Copyright © 2012 M3, Inc. All rights reserved. 21
  22. 22. SSL サーバ証明書の種類 - EV 登場前の問題点 -Q. 以下、一方がドメイン認証 SSL 証明書を使用していて一方が企業認証SSL 証明書を使用しています。どっちがどっち ? www.m3.com account.edit.yahoo.co.jp Copyright © 2012 M3, Inc. All rights reserved. 22
  23. 23. SSL サーバ証明書の種類 - EV 登場前の問題点 -証明書がドメイン認証か企業認証かを確認してみましょう。Firefox の場合、ブラウザの青い部分をクリック (IE では南京錠マーク ) して ... つづく。。。 Copyright © 2012 M3, Inc. All rights reserved. 23
  24. 24. SSL サーバ証明書 - EV 登場前の問題点 - 証明書の Subject に企業名や所在地情報が入っていれば企業認証型 左: O(Organization) = Yahoo Japan Corporation 右: O = www.m3.com Copyright © 2012 M3, Inc. All rights reserved. 24
  25. 25. SSL サーバ証明書の種類 - EV 登場前の問題点 -• 認証局、証明書によって認証レベルが違う  一方は厳格な審査、他方は安直な審査• ユーザがそれを見分けるのは困難 → 認証局が独自に発行するシールをサイトに掲載してもらう事で差別化 → 殆どのベンダでやっていてシールの意味を理解しないと結局は見分けられない• SSL 証明書を搭載したフィッシングサイトも登場 → 個人でも正当なドメインと SSL 証明書を取得できてしまう• 主要な認証局ベンダとブラウザベンダが CA/Browser Forum を立ち上げ て認証ガイドラインを作成 ( 日本語版 : https://www.jcaf.or.jp/pdf/guideline_20070219.pdf)• ガイドラインに準拠して発行された証明書に対してブラウザが専用の U/I を用意→EV(Extended Validation) 証明書の登場All rights reserved. Copyright © 2012 M3, Inc. 25
  26. 26. SSL サーバ証明書の種類 – EV 証明書 (1) - 特徴  ドメインを持ってる法人のみ取得可  証明書使用サイトへのアクセス時にブラウザのアドレスバー近辺が緑になり、企業認証型 SSL 証明 書を使用しているという事が一目でわかる (PC, スマートフォン ) 証明できる事  証明書に記載された法人が運営するドメインにアクセスしている事 バリデーション  法人の実在性確認 ( 登記簿謄本の提出等+電話確認 ) 購入  年間数万円~  購入から発行まで、数日~ 代表的な製品ベンダ  VeriSign(Secure Server ID EV, Global Server ID EV)  CyberTrust(SureServer EV)  GeoTrust(True BusinessID with EV)  Thawte(SSL Web Server Certs EV)  Global Sign (EV SSL) Copyright © 2012 M3, Inc. All rights reserved. 26
  27. 27. SSL サーバ証明書の種類 – EV 証明書 (2) - EV 証明書使用サイトですぐにわかる事•アドレスバーが緑なので実在する企業が運営するサイトである•サイト運営主体 ( 上記では SBI Sumishin Net Bank, Ltd. ) →2011 年 2 月より EV 証明書に日本語 (UTF8) を入れても OK に•IE の場合、認証実行主体 ( 認証局名 ) とサイト運営組織名が交互に表示される Copyright © 2012 M3, Inc. All rights reserved. 27
  28. 28. SSL サーバ証明書の種類 - まとめ - 印象の差https://www.askdoctors.jp/ + ドメイン認証型 SSL 証明書「医師に相談できる QA サイト」→ クレジットカード番号要求されるなぁ。サイトにはエムスリーという会社が運営していると書いてあるけど、本当かどうかドメイン名からは全くわからないな。このサイト大丈夫かなぁ ...?https://www.askdoctors.jp/ + EV 証明書「医師に相談できる QA サイト」→ ブラウザの緑のアドレスバーによるとこのサイトはエムスリーという会社が運営するサイトであるようだ。 google 先生によるとエムスリーは東証一部上場か。じゃぁクレジットカード情報を入力しても大丈夫かな。 Copyright © 2012 M3, Inc. All rights reserved. 28
  29. 29. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法 Copyright © 2012 M3, Inc. All rights reserved. 29
  30. 30. SSL サーバ証明書:コンバージョンへの効能ターゲットユーザが、ドメイン名と企業名を結びつけられない事が想定される場合→ 企業認証型、 EV 証明書を検討→ ユーザが、サイト ( ドメイン ) とその運営企業を紐付け可能に *.sony.co.jp に企業の実在性確認は本当に必要 ? ( まぁ、場合によっては ...)証明書単体ではこれくらいしか考慮事項がない。。。証明書ベンダが独自に証明書使用サイトへの付加価値を提供  証明書ブランド力や認知の向上によるサイトイメージの向上  安全をアピールするためにサイトに掲載するマーク ( シール ) の提供  マルウェアスキャン機能  脆弱性スキャン機能  サーチエンジンへのマーク ( シール ) の掲載 SSL のシール達 Copyright © 2012 M3, Inc. All rights reserved. 30
  31. 31. SSL サーバ証明書 :コンバージョンへの効能 - マルウェアスキャン -VeriSign が EV 証明書等上位の証明書にバンドルする機能。定期的にマルウェアスキャンが実行され、問題ない場合には「 VeriSign Trusted 」と書かれたシールになるマルウェアスキャンが有効になっていて問題があればシールの表示が「 VeriSign Secured 」になる。シールをクリックする事でも結果の確認が可能。※ 「 VeriSign Secured 」だからと言ってマルウェアに感染しているわけではない。 スキャンを有効にしていない場合やそもそもバンドルされていない場合など Copyright © 2012 M3, Inc. All rights reserved. 31
  32. 32. SSL サーバ証明書 :コンバージョンへの効能 – 脆弱性スキャン -VeriSign が EV 証明書等上位の証明書にバンドルする機能。定期的に Web 脆弱性スキャンが実行され、問題があった場合には管理者に通知される。問題が発見されても、脆弱性がある事がばれないようにシールの見え方には変化は無い。誤検知の可能性もある。 Copyright © 2012 M3, Inc. All rights reserved. 32
  33. 33. SSL サーバ証明書 :コンバージョンへの効能 – シールインサーチ (1) -VeriSign(Symantec) の EV 証明書を使い、 VeriSign のシールをサイトに掲載するとサーチエンジンに VeriSign や Norton のマークが表示される機能 IE + Google + Norton360 の場合 プラグイン型は Norton 以外にも AVG 、ソースネクストが提供 Copyright © 2012 M3, Inc. All rights reserved. 33
  34. 34. SSL サーバ証明書 :コンバージョンへの効能 – シールインサーチ (2)-VeriSign(Symantec) の EV 証明書を使い、 VeriSign のシールをサイトに掲載するとサーチエンジンに VeriSign や Norton のマークが表示される機能 goo 、 biglobe search 、 OCN ウェブ検索の場合にはブラウザプラグイン不要 シールインサーチ機能 で Google 、 Yahoo! 、 bing 、 goo からの流入数が平均 6.6 %向上 https://www.verisign.co.jp/press/2012/pr_20120301.html Copyright © 2012 M3, Inc. All rights reserved. 34
  35. 35. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法 Copyright © 2012 M3, Inc. All rights reserved. 35
  36. 36. SSL サーバ証明書: 選定基準 - 種類別 - 証明書種別 ケース 理由ドメイン認証型 Web サービス (server to server) サーバ間通信にグリーンバーもなにもない フィーチャーフォン用サイト SSL 、非 SSL 以上の判別は難しい。ブラウザが EV 非対応。 認知度、信頼度充分のドメイン www.meti.go.jp に実在性確認が本当に必要 ??? プライバシー情報の送信が無い SSL すら不要かもしれないけれども とりあえず SSL であれば何でも良い 企業認証型を導入しても費用対効果が見込めない場合 検証用 社内テスト環境に。オレオレ証明書で小細工するくらいなら 1000 円もしないので買っ たほうが手っ取り早い 個人のサイト 他の選択肢が無い企業認証型 思いつかない 企業の実在性認証がどうしても必要であれば、安い EV を検討したほうが。EV プライバシー情報の送信 ブラウザのグリーンバーに企業名表示でで安心感アップ サイト運営組織の実在性をアピール ブラウザのグリーンバーに企業名表示でで安心感アップ コンバージョン率を高めたい ブラウザのグリーンバーに企業名表示でで安心感アップEV(VeriSign) コンバージョン率を最高に高めたい シールインサーチやマルウェアスキャン、脆弱性スキャンといった付加価値狙い セキュリティを確保・アピールしたい ブランド力や、マルウェアスキャン・脆弱性スキャンといった付加価値狙い Copyright © 2012 M3, Inc. All rights reserved. 36
  37. 37. SSL サーバ証明書: 選定基準 – ベンダ別 -•価格  FQDN 課金か、サーバ台数課金か GeoTrust 、 GlobalSign は FQDN に対する課金、 VeriSign 、 CyberTrust はアクティブな Web サーバ台数に対す る課金  後発ベンダは安さで勝負•信頼性  不正な証明書が発行されると。。。 オランダの DigiNotar 社は、システム不正侵入により不正な SSL 証明書を発行していことが 2011 年 8 月に発覚 。 各ブラウザベンダは DigiNotar が発行した証明書をすべて無効化。その後 DigiNotar は倒産。  各証明書ベンダは CPS( 認証局運用規程 ) の形でどう認証局を運用をしているか公開 ただ、一般の人が内容を理解するのはかなり難しい。。。•ブランド力  どの画像があるサイトに安心感を感じますか ? 金融系の企業は何故同じ暗号強度を持つ証明書なのにあえて高い方を選んでいるのか ? 我々や皆様が運営するサイトは ...? Copyright © 2012 M3, Inc. All rights reserved. 結局は費用対効果、何かあったときのリスクをどう捕らえるか 37
  38. 38. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法 Copyright © 2012 M3, Inc. All rights reserved. 38
  39. 39. SSL サーバ証明書:安く買う方法 同じ商品でも値段が異なる•FQDN 課金か、 Active サーバ台数課金か•直販は基本的に一番高い ( 大量購入等の場合には例外有り )•パートナー (販社 ) からの購入が若干安い ( ライブドア SSL など )•ドメイン認証型は海外のサイトで直接購入すると安い•企業認証や EV は海外ベンダのパートナーからの購入が安い  発行期間や導入サポートは未知数•企業認証や EV で、 1 ヶ月も猶予がない場合は日本法人からの直販か日本法人のパートナーからの購入が確実•サーバへのインストール等技術的に詳しい人がいない場合にも日本法人からの直販か日本法人のパートナーからの購入が確実 Copyright © 2012 M3, Inc. All rights reserved. 39
  40. 40. SSL サーバ証明書:安く買う方法 (2012/3/5 現在 )•ドメイン認証型RapidSSLGeoTrust と共通のルート CA に繋がるので携帯カバー率も VeriSign に次ぐ高さ (95.7%) 。https://www.rapidsslonline.com/サーチエンジンで “ rapidsslonline cheap” で検索した結果から行くと。。。 !?1FQDN あたり、 1 年: $9.5 ~ 5 年: $35( 日本法人直販なし )•企業認証型GeoTrust トゥルービジネス IDhttp://valuessl.net/products/truebizid.php 等 ( 何故かどこも値段が一緒 )1FQDN あたり 1 年: 17,850( 定価 57,500)※ 購入未検証 Copyright © 2012 M3, Inc. All rights reserved. 40
  41. 41. SSL サーバ証明書:安く買う方法 (2012/3/5 現在 )•EVGeotrust True BusinessID with EVhttp://www.e-ssldirect.com/product/true_businessid_ev.php1FQDN あたり 1 年: 59,800( 日本法人直販なし )※ 購入未検証•EV(VeriSign)※ サーバ台数課金なので、 Web サーバが 10 台あれば x10 の費用が必要Secure Site with EVhttp://valuessl.net/products/securesiteev.phpサーバ 1 台あたり 1 年: 103,950( 定価 170,100)※ 購入未検証※RapidSSL 以外の格安購入は試した事がないので自己責任でお願いします m(_ _)m Copyright © 2012 M3, Inc. All rights reserved. 41
  42. 42. 目次•SSL って ?•SSL の仕組み (PKI) について•SSL 注意点•SSL サーバ証明書の種類•SSL サーバ証明書:コンバージョンへの効能•SSL サーバ証明書:選定基準•SSL サーバ証明書:安く買う方法•おまけ Copyright © 2012 M3, Inc. All rights reserved. 42
  43. 43. おまけあまりお金をかけずにコンバージョン率向上を狙えるかもしれないプラン !?•RapidSSL 証明書 (1FQDN あたり、 1 年間: $9.5  ~  5 年間: $35)•VeriSign Trust Seal (1FQDN あたり、 1 年間: 39,600 + 税 )の組み合わせがコスパが高いかも。•VeriSign Trust Seal とは企業の実在性確認 + マルウェアスキャン + サイトシール。SSL とは無関係•通信の暗号化はドメイン認証型 SSL 証明書で、組織の実在性確認はベリサインに。さらにマルウェアスキャン+シールインサーチの恩恵に与れる•ブラウザのグリーンバーが欲しければ、 FQDN 課金の EV 証明書でも Copyright © 2012 M3, Inc. All rights reserved. 43

×