Webサイトの常時SSL化(https://〜)は、もはや選択肢ではなく「必須」の時代となりました。そこで多くの企業の担当者様が直面するのが、「サーバー会社が無料で提供している『Let’s Encrypt(レッツ・エンクリプト)』を使うか、年間数万円を払って『有料SSL』を契約するか」という二択です。
「機能が同じなら無料の方がいいのでは?」「いや、企業として無料版はリスクがあるのでは?」と迷われるのは当然です。
結論から申し上げます。コーポレートサイトやECサイトなど、対外的な「信用」を担保すべきWebサイトであれば、有料の「企業認証(OV)SSL」を強く推奨します。 一方で、オウンドメディアや期間限定のLPであれば、無料SSLでも問題ありません。
この判断の分かれ目は、通信の暗号化強度ではなく、「実在性の証明」にあります。今回は、技術的な違いとビジネス上のリスク管理の観点から、企業が選ぶべきSSLの基準を解説します。
暗号化の強度は「同じ」。では何にお金を払うのか?
まず、技術的な誤解を解いておきましょう。「無料SSLはセキュリティが弱く、有料SSLは強い」というのは間違いです。通信を暗号化する技術(強度)自体は、無料版でも有料版でも変わりません。どちらを使っても、第三者による盗聴や改ざんを防ぐ機能は果たせます。
では、有料SSLのコストは何に対する対価なのか。それは「身元の保証料」です。
その鍵を「誰」に渡したかという違い
SSL証明書には、大きく分けて3つの認証レベルがあります。
①ドメイン認証(DV):無料SSLのほとんどがこれです。「そのドメイン(URL)の持ち主であること」だけを機械的に確認して発行されます。書類審査はなく、誰でも(詐欺サイトの運営者でも)取得可能です。
② 企業認証(OV):有料SSLの標準です。ドメインの所有権に加え、帝国データバンクなどのデータベースや電話確認を通じて、「その運営組織(企業)が法的に実在すること」を第三者機関が審査して発行します。
③EV認証(EV): 金融機関などで使われる、最も厳格な審査を経た証明書です。
無料SSL(DV)の場合、ブラウザの鍵マークをクリックしても「このサイトの通信は安全です」としか表示されません。しかし、有料SSL(OV)の場合、証明書の中に「運営組織名(例: CagraPRO Inc.)」が明記されます。これが、BtoB取引におけるデジタルの「印鑑証明」となるのです。
なりすましサイト(フィッシング)への対抗策
近年、フィッシング詐欺サイトの多くが、皮肉にも「無料SSL」を使って鍵マークを表示させています。「鍵マークがある=安全な会社」という図式は崩壊しています。
もし御社のサイトのコピーサイト(偽サイト)が作られた場合、無料SSL同士ではユーザーは区別がつきません。しかし、企業認証(OV)SSLを入れていれば、証明書情報を確認することで「こちらが本物の公式サイトである」と証明できます。これはブランドを守るための保険です。
運用リスクと「有効期限」の罠
もう一つ、実務的な観点で無視できないのが「更新サイクル」と「サポート体制」の違いです。
90日ごとの更新エラーリスク
「Let’s Encrypt」などの無料SSLは、有効期限が「90日間」と非常に短く設定されています。通常はサーバー上のプログラムで自動更新されますが、サーバーの仕様変更やプラグインの不具合などで、ある日突然自動更新が失敗することがあります。
更新に失敗すると、サイトにアクセスした瞬間に「この接続ではプライバシーが保護されません」という真っ赤な警告画面が表示されます。これは企業にとって致命的な機会損失であり、信用の失墜です。有料SSL(通常1年更新)であれば、更新時期の通知が代理店から届き、人の手で確実に更新管理を行うため、こうした突発的なダウンリスクを回避しやすくなります。
万が一の時の損害賠償保証
有料SSLには、発行元(認証局)による損害賠償保証(ワランティ)が付帯しているケースがほとんどです。万が一、SSLの暗号化が破られて情報漏洩が起きた場合、一定額の補償が受けられます。無料SSLにはこの保証は一切ありません。「何かあった時の責任」をどこまで負うかという経営判断も必要です。
もし現在、自社サイトがどのSSLを使っているか把握していない、あるいはコスト削減のためだけに無料SSLに切り替えようとしているなら、一度ご相談ください。御社のサイトの役割に応じた最適な選定をアドバイスします。
[ >> カグラプロへのご相談はこちら ]
ケース別・推奨SSLの選び方
では、具体的にどのサイトにどちらを使うべきか、CagraPROの選定基準を公開します。
【有料SSL(企業認証 OV)を推奨】
■コーポレートサイト:会社の顔。取引先が閲覧するため、実在証明が必須。
■採用サイト:求職者は個人情報を入力するため、高い信頼性が求められる。
■ECサイト・会員制サイト:クレジットカード情報や個人情報を扱う場合は必須(EV認証も検討)。
【無料SSL(ドメイン認証 DV)で十分】
■オウンドメディア(ブログ): 記事を読ませることが主目的で、個人情報の入力がない場合。
■LP(ランディングページ):短期間で使い捨てるキャンペーンページなど。
■社内用テスト環境: 一般公開しない確認用のサイト。
SSL費用は「必要経費」ではなく「信頼への投資」
年間数万円〜十数万円のSSL費用を「高い」と感じるか、「安い」と感じるか。それはWebサイトを「単なるカタログ」と見るか、「24時間働く支店」と見るかの違いです。
実店舗を構える時、看板やセキュリティシステムにお金をかけない経営者はいません。Webサイトにおける有料SSLは、まさにその看板と警備システムです。「ちゃんとした会社である」ことを、デジタルの世界で無言のうちに証明し続けてくれるのです。
CagraPRO(カグラプロ)では、制作するWebサイトの目的や規模に合わせて、最適なSSL証明書の選定から取得代行、そして更新管理までをワンストップでサポートします。「よく分からないからプロに任せたい」「今のサーバー環境で有料SSLが使えるか知りたい」といったご相談も大歓迎です。
たかがSSL、されどSSL。目に見えない部分にこそ、企業の品格は宿ります。
著者:清宮 雄(株式会社カグラ 代表取締役) マーケティング、ブランディングおよび企業経営の領域において20年以上の実務経験を有する。国内外にてIT事業および教育事業を展開。