サーバ証明書について教えてください

商用向けの外部Webサイトを構築し公開するとして、通信プロトコルにTLSやSSLを使用するとします。
その際にWebサーバに「サーバ証明書」の設定は必要なのでしょうか？

設定せずブラウザのURLに「https」と指定すれば、TLSやSSLはできてしまうのでしょうか？

No.4 回答者： k-841 回答日時： 2020/10/02 13:43

＞その際にWebサーバに「サーバ証明書」の設定は必要なのでしょうか？

必要です。

＞設定せずブラウザのURLに「https」と指定すれば、TLSやSSLはできてしまうのでしょうか？

この「設定せず」という表現が曲者ですが、
・サーバに証明書を全く設定しない場合、たとえばapache httpdはサービスが起動しませんので、こういったWebサーバではそもそもTLSやSSLはできません（Webサービス自体ができません）
・パッケージ導入などでデフォルトで設置される仮の証明書が自動的に使われるようになっていて、これを変更しない場合、利用者が接続すると「証明書エラー」的なエラーがブラウザに表示されますが、TLSやSSLでの通信は一応できます（利用者は「怪しいサイトだ」と認識します）

サーバ証明書は、サーバが「自分は認定機関から認められたちゃんとしたサイトですよ」ということを主張するためのものであり、TLSやSSLの通信そのものに影響するものではありません。

No.3 回答者： t_fumiaki 回答日時： 2020/10/02 10:49

URL上はhttps表示されますが、ブラウザで危険マークは必ず付きますので、暗号化されていない事が一目で判ります。

商用運用なら有料証明書は必須アイテムです。

No.2 回答者： bx2 回答日時： 2020/10/02 09:40

＞その際にWebサーバに「サーバ証明書」の設定は必要なのでしょうか？

必要です。


＞設定せずブラウザのURLに「https」と指定すれば、TLSやSSLはできてしまうのでしょうか？

できません。

できたとしても、サーバー証明書が安全ではないとブラウザが警告を出したり、別のサイトが表示されます。

No.1 回答者： ほーほけきょッ 回答日時： 2020/10/02 09:38

「https」を使用する場合、「サーバ証明書」は必要です。

ただ、「ドメイン名の実在のみの証明」程度の証明書でしたら、ほとんどのレンタルサーバーで無料で提供されています。
「組織の法的実在性」や「組織の物理的な実在性」を証明するような証明書は、別途、有料のものを取得しなければいけません。