セキュリティについて
名称変更について
2025年3月に espar から espar vault (エスパーボルト)へ名称が変更されました。サービスの機能・仕様・価格に変更はありません。詳しくはこちらをご覧下さい。
Q. 公開サーバのTLS対応バージョンを教えて下さい
TLS1.2 以上です。
公開サーバでは、各種セキュリティ情報や情勢に応じて、古いバージョンや推奨されないプロトコルを非対応としていく保守運用を行っております。
Q. 常時SSL化の対応は可能ですか?
はい
公開サーバで常時SSL化対応を行います。
WordPress等のCMS側が常時SSL化対応していない場合でも、espar vault導入直後から自動的に常時SSL化対応済みサイトとなります。既にCMS側で証明書を設置して常時SSL化をしている場合、当該の証明書は不要となります。espar vault導入後は年次更新して頂く必要もありません。公開サーバでは、証明書にLet’s EncryptのDV証明書を使用しています。証明書の取得や設置、更新の作業を含め全ての料金が espar vault の基本価格に含まれています。
Q. 常時SSL化のサーバ証明書の更新も行って貰えるということでしょうか?
はい
Let’s Encrypt の認証局と通信する仕組みを使用し、証明書の期限が切れる30日前に自動更新を行っています。espar vault のサービス開始以来、自動更新が失敗した事例はありません。
Q. 証明書の期限切れに備えて公開サーバを監視しても大丈夫ですか?
はい
実施頂いて結構ですが事前にお知らせ下さい。万が一、当該の監視用通信が公開サーバ全体の負荷を過度に上げる要因になる場合は、ご説明の上でアクセス拒否をさせて頂く場合もあります。
Q. 既にhttps通信の為のSSL証明書を持っているのですが継続して使用できますか?
はい
これを「証明書の持ち込み」と呼びます。公開サーバ上に証明書関連ファイル一式(証明書・中間証明書・秘密鍵)を設置する必要がありますので、一式をCMSサーバから取得して弊社担当者にお送り下さい。設置費用(税込 ¥33,000)が必要となりますのであからじめご了承下さい。
証明書を取得した認証局やレンタルサーバ会社様によっては、証明書関連のファイル一式や一部を入手できない場合があります。その場合、弊社でご用意する無償のLet’s Encrypt証明書(DVタイプ)で取得/設置しますので御安心下さい。その場合は設置費用はかかりません。
また「証明書の持ち込み」を行う場合、お客様または制作会社様で毎年更新用の証明書を取得して頂く必要があります。取得に必要となるCSRは都度弊社からご提供しますので期限30日前頃になりましたらお知らせ下さい。弊社で期限管理は行いませんのでご了承下さい。また毎年、有償での対応(税込 ¥33,000/回)となります。
Q. Let’s Encrypt のDV証明書でセキュリティ的に大丈夫なのでしょうか?
はい
証明書にはDV/OV/EVの3ランク(EVが最も高価)ありますが、セキュリティレベルに差は全くありません。
サイト閲覧者に「このサイトはEV証明書やOV証明書で常時SSL化しているから安心だ」と思って貰えるかも知れない程度の効用しかありません。証明書の種類によってセキュリティレベルが異なるという主張は、証明書業者のセールストークに過ぎない点に注意してください。
ところで、質問者様は、お使いの銀行や証券会社のWebサイトが、
- https対応しているかどうか
- 証明書がEV証明書かどうか
を気にしたことはあるでしょうか?1はあったとしても、2を気にかけた事は無いのではないでしょうか?また、EV証明書であるかどうかの確認方法はご存知でしょうか?質問者様の周囲の知人/同僚は2を気にかけておられるでしょうか?
証明書のランクとは、つまり、その程度のものだということです。銀行業や証券業など金融資産を扱うログイン機能つきWebシステムでない限りDV証明書で十分です。OV証明書やEV証明書は全く不要なものであり、両ランク証明書のセキュリティレベルが高いとする論理的・技術的根拠は何一つないと弊社では考えています。