海外発行(輸入版)の格安SSL取得についての注意点

SSLサーバ証明書の購入に際しては、代理店を利用すると定価よりも大幅割引で手に入れることができます。携帯やスマホを販売代理店で契約するのと同じで、SSLも代理店経由で購入することそのものは問題ありません。

ただし気をつけてほしいことがひとつあります。それは代理店によって「国内(日本)発行の証明書」を扱っている場合と、「海外発行(輸入版)の証明書」を扱っている場合の二通りがあるということです。

この記事では海外発行のSSLを利用する場合の注意点、および発行元がどちらなのかの見極め方について解説します。

国内発行・海外発行とは

※2017年にシマンテックのSSL事業がDigicert社に買収されたことで、下記の説明と実際が異なることになりました。ただ記述を書き換えるとかえって説明が複雑になってしまうため、過去にはこのような状態であったという参考情報としてご覧ください。

まず最初に、そもそも国内発行や海外発行とはどういうことなのかを説明しておきます。ここではSSLのブランドとして非常に有名なシマンテック(旧ベリサイン)を例にとります。

シマンテックの場合、親会社はアメリカにあるのですが、日本にも会社があります。具体的には以下のとおりです。

  • 日本発行:合同会社シマンテック・ウェブサイトセキュリティ
  • 海外発行:Symantec Corporation

この両社それぞれが証明書を発行しています。そして代理店によって、日本で発行されたものを取り扱っている場合と、海外で発行されたものの輸入版を取り扱っている場合があります。

なお詳しくは後述しますが、日本で運営されている代理店だからといって、必ずしも国内発行のものを取り扱っているとは限りません。

国内発行と海外発行でなにが違うのか

基本的な機能に違いはない

では発行元が異なると、証明書にはどのような違いが出るのでしょうか。いきなり結論から言ってしまえば、じつは基本的な機能には違いはありません。

海外発行の証明書であっても、SSL本来の機能である暗号化(フォーム等から送信される情報を暗号化)や、サイトの運営元の信頼性証明などはまったく問題なく行えます。輸入版だからといって品質が悪いとか、セキュリティ面に問題が出るわけではありません。

当サイトとしても、海外SSLは購入すべきではないという立場をとるものではありません。ただ、機能そのもの以外の部分で幾つか注意点もありますので、それについては知っておいてください。

サポートの違い

国内発行の証明書の場合、もしもなにかしら分からないことやトラブルが出た際、日本のシマンテックのサポートを受けられます。つまり日本語で対応してもらえます。

一方で海外発行のものの場合、アメリカのSymantec Corporationに対して英語で問い合わせることになります。これは他社(ジオトラスト等)でも同じことです。
※ただし日本で運営されている代理店経由で輸入版を購入した場合、代理店自体がなんらかの日本語サポートを提供している場合はあります。

発行手続きに関する違い

また発行のために必要な手続きについても違いがあります。ただし、これは簡易の認証(ドメイン認証)ではなく、企業認証・EV認証に関しての注意点です。

企業の実在性証明が必要となるSSLでは、その企業が本当に存在しているのかどうかをまず企業コードでチェックします。この際、国内発行の場合は帝国データバンクの企業コードを確認します。

しかし海外発行の場合、DUNS(ダンズ)ナンバーと呼ばれる世界共通の企業コードを用います。もしこのナンバー登録がない場合、新規申請、または別途登記確認のための書類取得などが必要となってしまいます。
※DUNSナンバーに関しては未申請でも登録されているというケースもなかにはあるそうですので「Duns Number Search」などで一度チェックをおすすめします。

その他参考リンク

なお下記に参考になりそうなリンクをあわせて掲載しておきます。

・海外で販売されているシマンテックのサーバIDと認証・審査手順が異なりますか – Symantec Website Security

・輸入版ジオトラスト製品についてのご注意事項 – 日本ジオトラスト

証明書の発行元が国内・海外どちらなのかの確認方法

次に、各代理店で扱われている証明書について、国内・海外のどちらで発行されたものなのかを見極める方法について説明します。

国内の代理店≠国内発行

まず注意してほしいのが、国内(日本)で運営されている代理店だからといって、必ずしも国内発行の証明書を取り扱っているわけではないということです。
なかには(私見ですが)非常に紛らわしい記述で、あたかも国内発行であるかのように輸入版を見せかけているところもあります。

国内の「正規代理店」であるかを確認する

一方でもっとも確実な方法は、代理店の運営元企業が「正規代理店(またはパートナー)」として登録されているのかをチェックすることです。
下記に、代表的なSSLブランドの正規代理店一覧のリンクを掲載しておきます。
※グローバルサインに関してはパートナー一覧を見つけられませんでした。

まとめ

本記事の途中でも触れましたが、海外発行だからといって一概に利用すべきでないというわけではありません。とくに個人で導入できるドメイン認証であれば、問題になることは少ないと思われます。
※もっとも最近はエックスサーバーにおいて無料SSLの「Let’s Encrypt」が導入できるようになるなど、個人レベルのSSLは無料化の流れにあります。

一方で企業認証などについては、サポートや発行手続きに関する注意点を踏まえた上で導入を検討してください。なお当サイトのSSL料金比較のページでは、国内の正規代理店の価格比較などもしているのであわせて参考にしてください。

なお価格以外の点を含めてどの代理店が良いかと言われると、個人的には(料金比較のページにも掲載している)ドメインキーパーを推します。

24時間365日体制でメール・電話でサポートを受けることができ、また申請手続きで面倒なCSR発行という手順の代行などがあり、手続きが非常に楽です。価格の面でもほとんどの証明書で最安値、またはそれにほぼ近い価格を実現していますので、どの代理店を使っていいか悩んだらおすすめします。