個人/サークル/SOHOでも手軽に導入できる「ドメイン認証SSL証明書」のススメ
え、1年間無料!? ならば僕らもさくらでSSLを導入だ!(前編)
2015年07月31日 14時00分更新
九州某県でSNSを開発/運営するスタートアップ企業、タビジ社。CTOのイズミくんは、新しいサイトの構築に励みながら、お金をかけられないこのサイトをどうやってSSL対応にすればいいのか悩んでいた。そんなとき、イズミ君が発見したものとは……?
(※この物語はフィクションです。さくらインターネット以外の実在する団体・人物とは一切関係ありません)
「会社やろうぜっ!」から始まった僕らの“タビジ”
「ふわぁ~、旅に出たいなぁ~っ!」
土曜日の夜、PCに向かって何時間もキーを叩き続けていた僕は、大きく伸びをしながら叫んだ。ここは九州の某県某市にあるマンションの一室。僕ら「タビジ社」のオフィスである。
タビジ社は、その名のとおり「旅」をテーマにしたSNSを開発、運営するスタートアップ企業だ。元々プログラマーやWebデザイナーだった旅好きの3人が意気投合し、酒の席で「会社やろうぜっ!」と盛り上がった結果、1年ほど前に起業した。
現在は、社交的な性格のオオムタがCEO(社長・男)、細かい金勘定の得意なコクラがCFO(経理担当・女)、そして新しいテクノロジーが大好きなイズミこと僕がCTO(技術担当・男)を務める。実は社員はこの3人だけなのだけど、何となく面白いのでそれぞれ「CxO」を名乗っている次第である。
僕らタビジ社の提供するSNS、通称“タビジSNS”は、「ちょっと足を伸ばす旅」をテーマにしている。ガイドブックに載っているお決まりの観光コースからちょっと足を伸ばせば行けるような、あまり知られていないけど魅力的なスポットを、地元の人や会員が紹介していく。そんな感じのSNSだ。
もちろん、たった3人のスタートアップ企業で、いきなり日本全国や世界に向けたサービスを始めるのは無謀だろう。そこで、まずは地元である九州域内に絞って情報を集め、紹介していく。幸いにも、数年前に九州新幹線が全線開通して観光には便利になったし、アジア各国からの旅行客も急増している。そう、今、九州がアツい! これは地元貢献のチャンスなのだっ!
――と、興奮して長々と語ってしまったものの、実際のところタビジSNSはまだオープンしていない。3カ月後のサービスインに向け、現在はサイト開発やコンテンツ集め、広告営業などの作業を手分けして進めているところだ。大変だけど、みんな楽しんでやっている。
サイトの立ち上げに当たっては「さくらでスタートアップ!」の支援も受けられた。そのおかげで、現在は「さくらのクラウド」のサーバーを無料で使わせてもらっている(資金の乏しい僕らには何よりである)。僕がメインの担当であるサイト開発のほうも、サイトのオープンに向けて進捗はまずまず順調だ。
■「さくらでスタートアップ!」は、さくらインターネットが運営するスタートアップ企業の支援プログラム。サーバーリソースを最大1年間無料で利用できるほか、セミナーやコンサルティングを通じてスタートアップ企業の成長をバックアップしている。
■さくらインターネットとサムライインキュベートは、2015年夏から、地方のスタートアップを支援するイベント「Startup Japan Tour 2015」を全国7都市(京都、愛媛、福岡、岐阜、仙台、北海道、長野)で開催する。
優秀な仲間と出会いたい? ならば勉強会をやるのだっ!
さて、僕がさっきから一人でガリガリと取り組んでいるのは、実はタビジSNSの開発ではない。そのサブドメインで立ち上げる「勉強会用サイト」の構築である。
なぜそんなサイトを構築しているのか。実は数日前、タビジ社の定例幹部会議(と称した飲み会)において、次のような会話が交わされたのだった――。
僕「――SNS、機能がまだまだ足りないでしょ。でも機能を増やすなら、ゆくゆくはもう1人くらい開発がいないと、手が回らないよ?」
コクラ「うん、ワタシも増やしたほうがいいと思う。サイトがオープンしたら、運用にも手がかかるようになるし、社長はもっと外回りに出なきゃならないし」
オオムタ「でもさあイズミ、誰かいい人知ってる? 即戦力のプログラマーで」
僕「うーん……」
僕ら3人は昔からの付き合いであり、お互いのスキルレベルは会社を立ち上げる前からある程度理解していた。しかし、新しいプログラマーをもう1人となると、これぞという人がなかなか思い当たらない。しかも「旅好きの」という条件付きになると、なおさら難しい。
僕「こんなことになるなら、もっとプログラマーの勉強会とか交流会に顔を出しとけばよかったかなあ……」
コクラ「あ! それだよそれ、イズミ! 勉強会!」
僕「ん? どういうこと?」
コクラが考えたアイデアはこうだ。僕らの地元では、エンジニア向け勉強会が開かれる機会がとても少ない。そこで、タビジ社が中心となって、地元のエンジニアを集めた勉強会をコツコツと開催していく。毎回、参加者が発表を行い、勉強会後の打ち上げやネットのコミュニティで交流を深めていけば、おのずとスキルレベルもわかってくる。そのうち、タビジ社の仲間に加わってほしい人材も見つかるはずだ。
コクラ「――まあ、そううまく行かなくてもスキルアップにはなるし、地元の開発者どうしでつながっておけば、困ったときに助け合えるでしょ」
オオムタ「なるほどね! 今ならSNSのPRにもなるだろうし」
コクラ「でしょ? ホレ、話は決まった、善は急げだ! イズミCTO、後はよろしくお願いしまぁす!」
オオムタ「よろしくお願いしまぁす!」
僕「お、おう……」
――とまあ、こんなやり取りがあって、僕はなぜかタビジSNSよりも先に勉強会用のサイトを立ち上げることになり、土曜の夜に一人黙々とサイト構築に取り組んでいるのである。
SSL証明書は必要だけど、お金はかけたくないわけです
タビジSNSとは違って、勉強会用のサイトに凝った機能は必要ない。勉強会の開催告知や参加受付、勉強会での発表資料のアップロードと公開、あとは参加者が交流するコミュニティ掲示板のようなものがあればいい。ここにはお金をかけられないので、さくらのクラウドでサブドメインのWebサーバーを立ち上げ、オープンソースのCMSを導入した。
さて、ここで気づいたことがある。このサーバーにインストールするSSL証明書が必要だ。
勉強会用サイトには、参加者受付フォームやログインページも設置することになる。そういうページがSSLの暗号化で保護されていないというのは、SNS運営が本業の会社としてはちょっとイメージが悪いだろう。
タビジSNSのほうでは、すでに年額数万円を払ってSSL証明書を購入済みだ。ビジネスのためだから安いものだけど、これがボランティアベースで運営する勉強会サイト用となると、正直厳しい。なるべくお金はかけたくない。
いっそのこと、自分で作る“オレオレ証明書”でもいいだろうか。ときどきテストサイトでも使ってるし、なにせタダだし……。そう考えながらさくらインターネットのサイトを眺めていると「ドメイン認証SSL証明書、1年間無料キャンペーン!」という文字が目に飛び込んできた。えっ、1年間無料!? どういうこと?
■ショッピングサイトや会員登録サイトなど、個人情報やID/パスワードを入力するサイトでは、SSLで通信を暗号化し、情報を保護するのが“常識”となっている。
■最近では、サイトトップページへのアクセスからすべてSSL(HTTPS)化し、セキュリティを高める「常時SSL(Always on SSL)」のサイトも増えている。この動きを後押しするため、グーグルではSSL(HTTPS)接続サイトの検索順位を優遇している。
■さくらインターネットでは、同社サービスのユーザーを対象に、ドメイン認証SSL証明書を1年間無料で提供するキャンペーンを実施している(2015年7月30日~9月30日好評につき11月30日まで延長!)。これも、セキュアなサイトを増やすための取り組みだ。
「ドメイン認証SSL証明書」とほかのタイプの証明書との違いは?
そもそも、この「ドメイン認証SSL証明書」というのはなんだろう。調べてみると、SSLサーバー証明書にはさまざまなタイプがあって、まとめると次のように機能が違うらしい。
SSL証明書、各タイプの“機能”の違い
まず、オレオレ証明書こと「自己署名SSL証明書」は、サーバー~ブラウザ間の通信暗号化機能を提供してくれる。これでいいじゃん、と思っていたが、さにあらず。信頼の置ける第三者(つまり認証局)が発行した証明書ではないので、証明書に書かれている情報(企業名など)が本当かどうかは疑わしい。あくまで“自分で作った身分証明書”だからね。
そのため、最近のWebブラウザでは、オレオレ証明書のサイトにアクセスすると警告画面が表示されるようになっている。自分で使うテストサイトなら問題ないが、勉強会のサイトにアクセスしてこんな警告が出てきたら……やっぱり怪しいよなあ。
自己署名SSL証明書を使っているサイトにアクセスした際の警告画面(Firefox)。「信頼できない接続」「接続の安全性を確認できません」と表示されている
一方、先だってタビジSNS用に購入した証明書は「企業認証SSL証明書」に当たる。正規の認証局が発行しており、暗号化に加えて、その企業や組織が実在することも証明してくれる。一般的なオンラインショップやWebサービスのサイトでは、このタイプが最もよく使われている。
そして、より厳密に企業/組織の実在確認を行ったうえで発行される証明書が「EV認証SSL証明書」だ。発行審査に手間と時間がかかるが、信頼性が最も高いので、オンラインバンキングなどで採用されるケースが増えているらしい。
さて、今回調べていた「ドメイン認証SSL証明書」はというと、企業/組織の実在を確認する代わりに、認証局はそのドメインが実在している(WHOISに登録されている)こと、ドメイン管理者がそのサイトを認証していることを証明するものとなる。
企業認証SSL証明書では、書面郵送や公的な企業データベースの参照、電話連絡などで企業/組織が存在することを確認するため、発行までに最短でも数日かかる。ドメイン認証SSL証明書のほうはそうした処理がなく、手続きがすべてオンラインで自動処理されるため、発行までにかかる時間は「数分」程度だそうだ。価格もぐっと安い。
今回はビジネスに使うサイトではなく、なるべくお金もかけたくないので、まず1年間はこのドメイン認証SSL証明書を使ってみることにしよう。さくらのサイトによると、「ラピッドSSL」ブランドのSSL証明書だそうだ。2年目からも年額1620円で使えるらしいので、そうなったら3人で割り勘だな。
――おっと、そろそろ終電の時間だ。証明書の申請とかインストールとか、続きの作業は明日やることにしよう。明日、日曜日だけどね……トホホ。
■SSLサーバー証明書にも「機能」の異なるさまざまなタイプがある。サイトの用途に応じて選ばなければならない。
■最近のブラウザは、自己署名SSL証明書(オレオレ証明書)がインストールされたサーバーにアクセスすると警告画面を表示するようになっている。第三者がアクセスするサイトには向いていない。
■ドメイン認証SSL証明書は、安価で発行スピードも早いため、個人やサークル、SOHOなどで使うのに重宝する。小規模なショッピングサイトや登録サイトで使われるケースも多い。
(提供:さくらインターネット)
当キャンペーンはご好評につき11月30日まで延長しました!
