無料のSSLと有料のSSLって、性能に差ってあるの?
SSLにもレベルがあり、大きく分けると、DV-SSL と EV-SSLがあります。
結論から先に言うと、これらにセキュリティ上の差異はありません。
DV-SSLは、ドメインレベル認証 といって、そのドメインの管理者であることだけを確認して発行します。安いSSLはこのタイプで、LetsEncriptも無料でDV-SSLです。
また、AWSにもSSLがあり、これも無料ですが、DV-SSLです。
そもそも、暗号化通信自体には、証明書は必要ありません。公開キーと秘密キーだけで暗号化は成立します。
しかし、公開キーの所有者が信頼できないと、その暗号通信先が本物か判別できないので、公開キーを適切な発行機関によって発行するという仕組みが、セットで提供されています。
公開キーが適切に発行されたかどうかを、証明書ツリーというもので識別するのですが、このツリーの頂点である、root証明書がブラウザにある事で証明書ツリーが成立して、証明書の真贋を判定できる様になっています。
なので、勝手に証明書を作成しても、その証明書は不正な機関が発行したものとなりエラーになります。(これをオレオレ証明書といってます)。
EV-SSLは、DV-SSLとちがって、会社の登記簿などをマンパワーで調査して、発行します。そのコストが価格に反映してます。
以前は、EV-SSLの存在価値を守るために、緑色で会社名がURLに表示されましたが、いまは出ません。
そのため、EC-SSLかどうかは、すぐにはわかりません。つまり、実際上の意味はありません。
ちなみにAmazon SSLは、AWSのCloudFront(CDN) と、ELB(ロードバランサ)上でにも使えます。LiestEncrioptは、証明書の信頼性を上げるために、有効期限が3ヶ月という短い期間で発行します。
このため通常は、自動更新の仕組みを入れることによって手間を省きます(弊社では普段そのように処理しています)。
クラウド、CDNによってはLetsEncriptの自動更新に対応してくれないこもありますので、その場合は、3ヶ月に一度手動で更新するというのは現実的ではないと考えます。その場合は有償のものを使わざるえません。また、Letsencriptでワイルドカードを発行はできるのですが、DNSの連動が必要なので面倒になります。
以上を考えますと、将来的には、LetsEncriotとAmazonSSLが市場のかなりの部分を占めるのではないかと思います。