今年もSSL証明書更新の時期が来た。
以前は3年とか5年有効の証明書があったが、今は最長で397日である。
しかし来年には200日に、2027年には100日に、そして2029年には47日に短縮される。
今でも自動更新に対応している証明書発行企業があるが、自動更新でもしないと結構手間だ。
特に多数のサイトを管理している企業では手間もかかるだろう。
自動更新プロトコルとしてはACMEがある。
自動更新を行う為にはサーバ側の設定というか、自動更新を行う為のソフトウエアのインストールなどが必要だ。
Googleはセキュリティ確保のための全SSL化みたいな事を推進したわけだが、これで何かが変わったのだろうか?
相変わらず検索上位には詐欺サイトや偽サイトが出てくるわけで、SSL化されている。
全てのサイトのSSL化を行うのではなく、特定の企業やメーカにのみ厳しい基準でSSL証明書を発行した方が良かったのではないか?
SSL証明書の申請が出来る条件として、新規設立を除く法人のみにする。
個人や新設法人は基本的には証明書の申請を不可能にする。
こうすれば詐欺サイトはログイン画面だとか情報入力画面にSSLが使えなくなり、見分けが付きやすくなる。
コメント