前回、大学のホームページのhttps対応を調べたところ、
httpsに対応している大学は半分もないことが分かりました。
clean-copy-of-onenote.hatenablog.com
そんな中で、https 対応している大学は、
少し技術的に進んだ大学と言えますが、
https には、「証明書」というものがつきものです。
この証明書というのは、
ザックリ言うと、そのサイトが確かに本物のサイトであることを、
「認証局」と呼ばれる第三者に保証してもらうものです。
認証局にも色々あり、
認証局ごとに、「本人確認」の仕方も様々です。
つまり、同じ https に対応したサイトであっても、
証明書を発行している認証局によって、
セキュリティーのレベルに違いがあるということです。
となると気になるのは、
どんな認証局が大学でよく利用されているのかということですね。
そこで、https 対応の大学が使っている認証局を調べてみます。
方法
↓の記事で収集したhttps対応のサイト全てについて、
証明書を取得して、
証明書の発行元情報を収集します。
clean-copy-of-onenote.hatenablog.com
例えば、ブラウザで証明書を確認するのには、
アドレスバーの鍵マークをクリックして、
「証明書」をクリックすれば、
↓のような証明書の情報がウィンドウで表示されます。
証明のパスを見れば、どこから発行された証明書であるかが一目瞭然で、
このブログの場合は 「COMODO」が証明書を発行している認証局ということになります。
結果
https に対応した大学のホームページのうち、
アクセスできた全321大学についての認証局の情報を集計した結果を、
下に示します。
全体のシェア
まずは、大学のホームページの認証局として、
よく使われる認証局を調べるため、
全体でのシェアを見てみましょう。
↓のグラフは、大学のホームページに証明書を発行している
認証局の割合を円グラフで表示したものです。
グラフを見ると、ほぼ三つの認証局によって、
過半数の大学の証明書が発行されていることが分かります。
続いて、それぞれの認証局がどんなものかを見ていきましょう。
National Institute of Informatics
こちらは、「国立情報学研究所」(NII)という国の研究機関が、
大学向けに発行している証明書です。
国の研究機関が認証局になるというだけあって、
正統派の認証局と言えるでしょう。
この証明書が利用できるのは学術機関だけで、
認証局によって、ちゃんとその大学であることの確認を取ったうえで、
証明書が発行されることとなるので、
かなり信頼度の高いものとなります。
このような理由から、
大学の証明書発行機関としてトップに立っていますね。
GlobalSign nv-sa
こちらはグローバルサインという会社が認証局となって、
発行されている証明書です。
学術機関に限らず、商用で全般的に使われている認証局で、
ホームページには「国内シェアNo.1」との謳い文句が記載されているほどです。
広く一般の企業でも使われているということは、
それだけ信頼度も高いということでもあるので、
大学でもこの認証局を利用するところが多いというのは、
至極まっとうですね。
DigiCert Inc
こちらも、グローバルサインと同様に、
デジサートいう会社が認証局となって証明書を発行しています。
こちらも、商用で全般的に使われている認証局で、
大学も、他の一般の企業と同様に、
よく使われている認証局を使っているということですね。
Let's Encrypt
上の三つの認証局がそれぞれ約20%ずつと、
大きなシェアを持っていますが、
この「Let's Encrypt」も 8.7% と、
そこそこ多くの大学に使われているようです。
この Let's Encrypt に関しては、
個人で Web サーバーを触る人ならほぼ知っていると言っても
過言でないくらいの知名度があります。
なぜなら、Let's Encrypt は誰でも無料で証明書を発行してくれる認証局だからです。
基本的に、認証局は、証明書を発行する際の本人確認であったり、
定期的な証明書のアップデートなどのために、
コストがかかってくるため、料金が請求されるのが一般的ですが、
Let's encrypt では、手続も簡略化されていて、無料で利用できます。
ただし、本人や機関の実在性の保証まで行わずに、
あくまで、サイトのアドレスに含まれるドメインの所有者を保証するものなので、
他の認証局に比べるとどうしてもセキュリティレベルは落ちます。
(とはいえ、認証局の役割はあくまで公開鍵の所有者の保証だと考えれば、
最低限の必要なことは間違いなくやっていると言えます)
とはいえ、証明書発行にまどろっこしい手続きがなく、
証明書に予算をかけなくていいということで、
この認証局を選ぶ大学も結構あるということですね。
国立・公立・私立別のシェア
上では、大学全体のシェアを見ましたが、
国立・公立・私立といった区分で見た時に、
よく使われる認証局は変わってくるのでしょうか。
国立大学の認証局
↓のグラフは国立大学のホームページの証明書を発行している認証局の割合です。
圧倒的に NII を認証局として利用している大学が多いことが分かります。
国立大学として、国の研究機関が発行している証明書を使うのは、
通すべき義理と言えるでしょうか。
とはいえ、強制されているわけではないようで、
他の認証局を使っている大学もいくつかあるようです。
中には、無料の認証局を使っている国立大学もありますね。
公立大学の認証局
続いて、公立大学のホームページの証明書を発行している認証局の割合を見てみましょう。
NII の証明書を使っている大学が多いことには多いですが、
国立大学ほどではありませんね。
どちらかと言うと、商用の認証局を利用している大学が多いようです。
また、Let's encrypt を利用している公立大学は極わずかですね。
私立大学の認証局
続いて、私立大学について見てみましょう。
私立大学では、NIIのシェアは第3位にまで落ちています。
公的な機関ではなくなるので、
国の認証局を使う義理の意識も薄れているという感じですかね。
私立大学では、商用の認証局を使うことが多いということですね。
また、Let's encrypt の利用も多いようで、
あまりSSL化に予算や労力はかけたくないように見えます。
まとめ
大学でよく利用されている認証局について調べました。
基本的には、国の機関を認証局としているか、
商用の認証局を利用しているか、
無料の認証局を利用しているかのどれかですね。
特に、国立・公立・私立で違いをみると、
面白いほどよく使われる認証局が違っていて、
国立大学では、国の研究機関NIIを認証局としている大学がほとんどでしたが、
公立や私立大学では、商用の認証局の利用が多いことが分かりました。