証明書の種類

SSL証明書には以下の3種類があります

• サーバ証明書（ドメイン証明書、クイック認証）
• 企業実在証明書（企業認証）
• EV証明書

しかし、企業実在証明書については、以下の理由でその存在価値が薄れています：

• 発行機関によっては、安易にこの証明書を発行しており、証明書の価値が落ちている
• ブラウザ上における表示は、サーバ証明書と変わらない（企業実在証明書であることは、証明書の詳細を調査する必要がある）。

現実的にはサーバ証明書かEV証明書のどちらかを選択した方が良い状況であり、それぞれの特徴をまとめると以下となります：

• サーバ証明書（ドメイン証明書、クイック認証）
  • 簡単に証明書を取得可能
  • 安価（数千円～、無料の証明書もあり）
• EV証明書
  • 各種証明書の提出が必要であり、取得には時間が必要
  • アドレスバーが緑色になり、企業名が表示される
  • 高価（数万円程度）

料金

最近では、使用するサーバ数に制限の無いSSL証明書が増えています。しかし、SSL発行事業者によっては、CDNでSSL証明書を使用する場合、追加費用が必要なことがあります。

発行機関

SSL証明書を購入する際に、どのSSL認証局(CA)を選ぶかは、知名度、ブランドイメージ、価格により決定されることが多いと言えます。一方、機能面における明確な比較ポイントも存在します。

クライアント対応率

SSL証明書が機能するためには、SSLクライアント（ブラウザ等）に予め「そのSSL証明書を発行したSSL認証局のルート証明書」がインストールされていることが必要です。このインストール率が、クライアント対応率の広さになります。

最近のPCやスマートフォンであれば、多くのルート証明書がインストールされており、どの認証局も差はなくなってきています（注意は必要です）。

一方、古いPC(OS)や携帯電話等においては、それらのメインテナンスが終了した時点におけるルート証明書しかインストールされておらず、それ以降の証明書については機能しません。そのため、古くから使われているルート証明書が、対応率の点で有利になります。

失効確認(CRL、OCSP)サーバの性能・安定性

SSLクライアントは、定期的にSSL証明書の失効確認を行います。そして、この失効確認は、「SSLクライアントがSSL認証局が運用するWebサーバにアクセスする」ことにより行われます(OCSP Staplingの場合を除く）。

このアクセスに失敗した場合、クライアントは、エラーを表示するか、SSLアクセス自体をエラーとして終了させることがあります（クライアントの実装に依存します）。

また、CRLは、ある程度の大きさ(数百KB)のファイルとなるため、このファイルのダウンロード完了まで、SSL通信が遅延します。そのため、CRLサーバについてはCDN化が行われていることが選択ポイントとなります。

OCSPについては、レスポンスサイズは小さなものになりますが、これについても完了まではSSL通信が遅延します。そのため、CRLサーバと同様に地理分散された分散環境で構築されていることが選択ポイントとなります。

Certificate Transparency対応

透かし入り証明書(Certificate Transparency、CT)は、SSL証明書の信頼性を高めるための技術です。証明書がCTに対応している場合、SSL証明書にSCT(Signed Certificate Timestamp)情報が含まれます(SCTは、他にOCSP Stapling等でも配布可能）。

証明書がCTに対応していない場合、最新のChromeでは、EV証明書に対するアドレスバーのグリーン表示が行われません（いくつかの例外あり）。今後、EV証明書を取得する際には、認証局がCTに対応しているかが重要な選択ポイントになります。