昔のサーバー証明書は高額だった
インターネットのサービスに仕事で関わるようになって10年くらいは経つのですが、もともとWEBのサーバー証明書というサービスは超高級品でした。WEBサーバー1台に対して年間10万くらいかかる商品でした。したがって3台のWEBサーバーにロードバランシングを行うと年間30万。高い。
なぜこんなにかかるかと言うと、過去は企業認証と呼ばれる方法で証明書を作成しないと企業サービスとして使う証明書としては役不足と長く信じられてきたからです。企業認証とは、以下のようなフローで成立します。
(客)
1)サーバー証明書の発行手続きをWEBで行い、CSRキーを提出する。その際、企業の情報(法人名、責任者、連絡先)も伝える。また技術担当者の連絡先も伝える。
(証明書発行企業)
2)帝国データバンクなどで認証を受ける企業の登記情報を調べ、CSRキーの内容と一致するかを調べる。
3)登記情報のある電話番号に連絡し、責任者を呼び出し、在籍確認をする。
4)技術担当者に電話連絡し、発行内容を再確認する。
5)サーバー証明書を発行する。
人間が介在することもあり、高額な手数料となっていたようです。いわゆるサーバー証明書と言えばベリサイン一強だった時代、です。
今はドメイン認証
時は流れ、企業認証の重要性は法人の現場でも相当薄れています。今はドメイン認証を使う場面が増えています。一般人が、EV認証、企業認証、ドメイン認証と言って、ピンと来る人がどれくらいいるでしょう。特にスマートフォンの画面では何の見わけもつきません。しかもLet's Encryptで無料でもドメイン認証の証明書を配布しているくらいです。もうドメイン認証でもいいでしょ、という雰囲気が強力に流れ始めています。これまでこだわってきた企業認証への思いは何だったのでしょうか。
一時期、企業認証をよく受け付けていて利用実績もあった会社から、よく電話がかかってきて「どうですか?そろそろ切れますよね?」という営業の電話がすごくかかってきた時期があったのですが、これはその予兆だったのだと思います。
ドメイン認証については、とても安価です。Let's Encryptも意識して相当に安価で、年間3000円するかしないかぐらいで取得できるようになりました。また、ロードバランシングしても追加で買う必要もないなど、とても使いやすくなった印象です。
ドメイン認証とは以下の流れで取得できます。
(客)
1)サーバー証明書の発行手続きをWEBで行い、CSRキーを提出する。その際、企業の情報(法人名、責任者、連絡先)も伝える。また技術担当者の連絡先も伝える。また、ドメイン認証の方法を選択する。
(証明書発行企業)
2)以下の方法の「いずれか」でドメイン認証を行います。
・(メール)対象ドメイン名のメールアドレスにメールを送る。
・(WEB)対象ドメイン名のWebサーバーに、事前に取り決めたテキストが読み取れるよう客に指示する。
(客)
3)以下の方法の「いずれか」の対応を行う
・(メール)メールを受け取り、添付のURLを開く
・(WEB)対象ドメインのWebサーバーに、事前に取り決めた文字列を含むテキストファイルを読み、証明書発行企業が読み取りに来るのを待つ
企業認証と違い、ドメイン認証は証明書発行企業にとって「全自動」です。これにより大幅に価格が下がりましたし、Let's Encryptのように無料で発行するプロジェクトも存在します。
ドメインを持っているから、信用するということは
サーバー証明書を発行する根拠は、ドメインを所有しているから、です。
ではドメインはどのようにして取得するのでしょうか。
実はドメインを発行するための条件は、「クレジットカードを持っていること」だけです。私もいろいろなレジストラ(ドメインを取得できる会社)と契約したことがありますが、実在確認や企業認証は一切しません。契約する際に「クレジットカード」を登録し、決済できるか確認するだけです。クレジットカードを決済できるということは、クレジット会社がカード発行者の実在確認を行い、信用情報を付与しているということになります。
ということは、有効なクレジットカードを持っていれば、ドメインが取得できる。ドメインが取得できれば、サーバー証明書を取得できる。
インターネットは、クレジットカードの信用によって成り立っているということになります。クレジットカード会社はインターネットを支えているのです。
AWSもAzureもGoogle Cloudも
ところで、クラウドの巨人、AWSもAzureもGoogle Cloudも、はじめて使う人には無料枠を提供します。本格的には使うかどうかわからないけれども、とりあえず無料枠の範囲で使いたいな、と思ったとき。手続きをしてみてください。
必ずクレジットカードを要求されます。
Q. 無料利用枠のみ使用したいので、クレジットカードを登録せずに利用開始できますか?
A. アカウント作成およびご利用開始にあたっては、本人確認および無料範囲を超えたご利用に対する料金のご請求といった点から、クレジットカード登録は必須となります。
尚、無料範囲内のご利用でしたら、クレジットカードに課金されることはございません。無料利用枠の対象製品・サービスが提供する無料範囲については、無料利用枠をご参照ください。
Azure 無料アカウント FAQ | Microsoft Azure
クレジット カード番号や電話番号がなぜ必要なのですか。
低料金に抑える 1 つの方法として、アカウント所有者が実在する人間であり、ボットや匿名のトラブル メーカーではないことを確認しています。電話番号とクレジット カードは、ID の確認に使用します。お客様のクレジット カードに請求は発生しませんが、お客様のクレジット カード アカウントに 1 ドル認証が表示される場合があります。これは、3 から 5 日以内に削除されます。
無料利用枠の利用のみで課金するつもりがなくても、クレジットカードの提示が必要なわけです。良からぬことをした場合、クレジットカードの情報から個人を特定し責任を追及するということの裏返しです。
まとめ
このように、インターネットで何かしようとする場合、最近はサーバー証明書発行会社による在籍証明などは影を潜め、クレジットカード会社による信用情報を基礎としてサービスを提供する形が中心となっています。繰り返しますが、クレジットカードがあるからドメインが取得でき、ドメインが取得できるからサーバー証明書が発行されるのです。そしてクラウドはクレジットカードによる本人確認が全てです。
したがって、最近は法人向けのクレジットカードと呼ばれる、コーポレートカードの利用が増えていると思います。法人の信用情報をもとに発行されるカードです。企業取引がクレジットカードで行われる時代の到来です。インターネットに属してビジネスをすると特にそう感じるようになっています。
インターネットは、クレジットカード会社の信用情報生成能力によって成り立っている。これは普段生活しているとあまり意識しない部分でもありますので、言及しておきたいと思います。
