ログイン認証を伴うWebサイトで
必須入力項目では無いものの、
住所・氏名などの個人情報を扱います。
この入力フォームの情報のやり取りをSSLを使って
盗聴防止したいと考えています。
必然的にログインのユーザIDやパスワードが
盗聴されますと、個人情報が漏れますので
ログイン認証にもSSLを適用したいと
考えています。
※サーバはレンタルサーバ(共有サーバ)です。
※地域限定ユーザ(市内、広くても県内ユーザ)の、
小規模な商用利用を前提に考えております。
そこで質問なのですが、
(1)SSLの実装は、第3者認証局に
有料で申請するしかないですよね?
(2)第3者認証局を比較検討された
ご経験が御座いましたら、選択の観点を
教えて下さい。
価格がピンキリなのは、機能差でなくブランドバリューと
考えて問題無いでしょうか?
(3)第3者認証局と有料の契約した場合、
全ページ、SSL通信だな!!
と思ってしまうのですが、
他のサイトを見ますと、実際にはそうではありません。
SSLで通信するページとそうでないページに分けるのは、
料金面で何かあるのでしょうか?
それとも、レスポンスタイムに要因があるのでしょうか?
もしくは、他に要因があるのでしょうか?
(4)他にも実際にSSLを適用された方の
ご忠告などございましたら、是非教えて下さい。
宜しくお願い致します。
必須入力項目では無いものの、
住所・氏名などの個人情報を扱います。
この入力フォームの情報のやり取りをSSLを使って
盗聴防止したいと考えています。
必然的にログインのユーザIDやパスワードが
盗聴されますと、個人情報が漏れますので
ログイン認証にもSSLを適用したいと
考えています。
※サーバはレンタルサーバ(共有サーバ)です。
※地域限定ユーザ(市内、広くても県内ユーザ)の、
小規模な商用利用を前提に考えております。
そこで質問なのですが、
(1)SSLの実装は、第3者認証局に
有料で申請するしかないですよね?
(2)第3者認証局を比較検討された
ご経験が御座いましたら、選択の観点を
教えて下さい。
価格がピンキリなのは、機能差でなくブランドバリューと
考えて問題無いでしょうか?
(3)第3者認証局と有料の契約した場合、
全ページ、SSL通信だな!!
と思ってしまうのですが、
他のサイトを見ますと、実際にはそうではありません。
SSLで通信するページとそうでないページに分けるのは、
料金面で何かあるのでしょうか?
それとも、レスポンスタイムに要因があるのでしょうか?
もしくは、他に要因があるのでしょうか?
(4)他にも実際にSSLを適用された方の
ご忠告などございましたら、是非教えて下さい。
宜しくお願い致します。
|
|
|
|
コメント(12)
Cappuccinoさん
別に、実装って「自分で作る」って意味だけじゃないし。
例)
http://www.verisign.co.jp/training/courses/vca.html
ベリサイン社のデジタル証明書/PKIソリューションであるベリサイン マネージドPKI を実装・管理するために必要とされるスキルを習得するための2日間のコースです。
YamaHiroさん
>(1)SSLの実装は、第3者認証局に
> 有料で申請するしかないですよね?
いいえ。SSLを実装するだけであれば「オレオレ証明書」といったように
自分自身を認証局とすることが可能です。
(通信を暗号化することはできます)
ただしその暗号化の信用度は別問題
>(2)
> 価格がピンキリなのは、機能差でなくブランドバリューと
> 考えて問題無いでしょうか?
要するに認証局というのは「世の中で認証局としての価値があるところ」
にやってもらわないと意味がなく、その判断基準は
あらかじめ「ルート証明書」に組み込まれているか?
http://e-words.jp/w/E383ABE383BCE38388E8A8BCE6988EE69BB8.html
などの基準があります。
たとえばGeoTrustという認証局がありましたが
http://akionweb.com/archives/2005/01/aussl.shtml
こういったように一部の端末に組み込まれない、という場合も
あることはあります(現在はその会社は社名も変わりましたし、対応してますが)
> (3)
まあ負荷はあるだろうね。あとは一時期SEO関連に問題があったらしい。
別に、実装って「自分で作る」って意味だけじゃないし。
例)
http://www.verisign.co.jp/training/courses/vca.html
ベリサイン社のデジタル証明書/PKIソリューションであるベリサイン マネージドPKI を実装・管理するために必要とされるスキルを習得するための2日間のコースです。
YamaHiroさん
>(1)SSLの実装は、第3者認証局に
> 有料で申請するしかないですよね?
いいえ。SSLを実装するだけであれば「オレオレ証明書」といったように
自分自身を認証局とすることが可能です。
(通信を暗号化することはできます)
ただしその暗号化の信用度は別問題
>(2)
> 価格がピンキリなのは、機能差でなくブランドバリューと
> 考えて問題無いでしょうか?
要するに認証局というのは「世の中で認証局としての価値があるところ」
にやってもらわないと意味がなく、その判断基準は
あらかじめ「ルート証明書」に組み込まれているか?
http://e-words.jp/w/E383ABE383BCE38388E8A8BCE6988EE69BB8.html
などの基準があります。
たとえばGeoTrustという認証局がありましたが
http://akionweb.com/archives/2005/01/aussl.shtml
こういったように一部の端末に組み込まれない、という場合も
あることはあります(現在はその会社は社名も変わりましたし、対応してますが)
> (3)
まあ負荷はあるだろうね。あとは一時期SEO関連に問題があったらしい。
たぬぽ さん
>レンタルサーバによって導入可能なSSLが共用SSLのみ、専用SSLのみといった制約がついていることがありますので確認して下さい
レンタルサーバ側は、独自ドメインを取得して
勝手にSSLやって下さい。って感じなんです。
>その上でレンタルサーバや認証局に電話で”〜こういった事例なんですが、どれがいいでしょう?”と聞いてみることをお薦めします
どこにするかが、第1の課題ではありますが、
候補を挙げて電話して比較してみるのがいいのかも知れませんね。
有難うございました。
KIDD さん
>「オレオレ証明書」
そんなのも「アリ」なんですね。
実は、ちょっと迷ったりします。
>あらかじめ「ルート証明書」に組み込まれているか?
その点は、おさえてました。
お金払うなら、ルートですね。
>たとえばGeoTrustという認証局がありましたが
そうでうね。V社が高いのでGeoTrustも候補ですね。
って、V社に買収されてるじゃないですか〜!!
(すみません。)
>まあ負荷はあるだろうね。あとは一時期SEO関連に問題があったらしい。
決定打があれば、また教えて下さい。
(3)につきましては、なんだかすっきりしません。
このまま行くとなんだかはっきり分らないけど、
一部の必要なページだけSSLにしてしまいそうです。
また情報あれば、教えて下さい。
皆様、ご教授有難うございました。
>レンタルサーバによって導入可能なSSLが共用SSLのみ、専用SSLのみといった制約がついていることがありますので確認して下さい
レンタルサーバ側は、独自ドメインを取得して
勝手にSSLやって下さい。って感じなんです。
>その上でレンタルサーバや認証局に電話で”〜こういった事例なんですが、どれがいいでしょう?”と聞いてみることをお薦めします
どこにするかが、第1の課題ではありますが、
候補を挙げて電話して比較してみるのがいいのかも知れませんね。
有難うございました。
KIDD さん
>「オレオレ証明書」
そんなのも「アリ」なんですね。
実は、ちょっと迷ったりします。
>あらかじめ「ルート証明書」に組み込まれているか?
その点は、おさえてました。
お金払うなら、ルートですね。
>たとえばGeoTrustという認証局がありましたが
そうでうね。V社が高いのでGeoTrustも候補ですね。
って、V社に買収されてるじゃないですか〜!!
(すみません。)
>まあ負荷はあるだろうね。あとは一時期SEO関連に問題があったらしい。
決定打があれば、また教えて下さい。
(3)につきましては、なんだかすっきりしません。
このまま行くとなんだかはっきり分らないけど、
一部の必要なページだけSSLにしてしまいそうです。
また情報あれば、教えて下さい。
皆様、ご教授有難うございました。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
Webプログラミングについて語る 更新情報
-
最新のアンケート
Webプログラミングについて語るのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 写真を撮るのが好き
- 208424人
- 2位
- 福岡 ソフトバンクホークス
- 42967人
- 3位
- 一行で笑わせろ!
- 82639人