1枚で複数サイトを常時SSL化!ワイルドカード証明書やマルチドメイン証明書とは | SSLサーバー証明書ならさくらインターネット

1枚で複数サイトを常時SSL化!ワイルドカード証明書やマルチドメイン証明書とは?

ワイルドカード証明書やマルチドメイン証明書をご存知でしょうか?「よくわからないけど価格が高い!」と思って敬遠していませんか?今回はちょっと変わっているけど、とても便利な証明書について解説します。

ワイルドカード証明書とは

ワイルドカード証明書とは、例えばコモンネームに *.sakura.ad.jp を指定することでwww.sakura.ad.jpや vps.sakura.ad.jp、cloud.sakura.ad.jp といったサブドメインが異なるサイトを1枚の証明書でカバーすることができる証明書です。ワイルドカード証明書の一番のポイントは、サブドメインが *(アスタリスク)で指定できること、つまり実質無制限にサブドメインを作成して証明書を適用する、ということが可能なのです。

ただし、コモンネームに *.sakura.ad.jp を指定した場合、www.sakura.ad.jpやvps.sakura.ad.jpには適用できますが、image.vps.sakura.ad.jpには適用できません。image.vps.sakura.ad.jpのような、コモンネームと階層が異なる場合は別の証明書(ワイルドカード証明書ならコモンネームに*.vps.sakura.ad.jpを指定した証明書)が必要になります。ワイルドカード証明書は、無制限にサブドメインを追加できますが、コモンネームと同じ階層にしか適用できない、ということを覚えておきましょう。

  • ※同じ階層にしか適用できないワイルドカード証明書が一般的ですが、一部の認証局では異なる階層でも適用できる、より利便性の高いワイルドカード証明書も取り扱っています。

マルチドメイン証明書とは

マルチドメイン証明書とは、コモンネームに指定したドメインとは全く別のドメインをSANs(Subject Alternative Names/サブジェクトの代替名)と呼ばれる証明書の拡張領域に追加することで、複数のドメインに適用することができる証明書です。ワイルドカード証明書とは異なり階層に制限が無く、拡張領域を利用するため自由にドメインを設定できることがポイントです。設定できるドメイン数は最大3~5個の認証局が多いですが、100個以上設定できる認証局も存在します。設定したドメインを後から変更できることも覚えておきましょう。

また、拡張領域に*(アスタリスク)で指定したドメインを追加して、マルチドメインかつワイルドカードという証明書を作ることもできます。費用も割高になるため、あまり見られないマルチドメイン/ワイルドカード証明書ですが、日本では Yahoo! Japan で利用されています。OV(企業認証)+ワイルドカード+マルチドメインという珍しい証明書ですので、ぜひチェックしてみましょう。

ワイルドカードとマルチドメインの違いとは?

ワイルドカード証明書

  • コモンネーム= *.sakura.ad.jp
  • 拡張領域= .sakura.ad.jp※
    • ※認証局によって、ワイルドカード証明書の拡張領域にルートドメインが含まれない可能性があります。

マルチドメイン証明書

  • コモンネーム= sakura.ad.jp
  • 拡張領域= www.sakura.ne.jp、sakura.io、image.vps.sakura.ad.jpなど

上記例のように、どちらも複数のドメインを1枚の証明書でカバーすることができるという点は同じです。ワイルドカード証明書の場合、拡張領域にルートドメイン以外のドメインが入ることはありませんが、*(アスタリスク)で指定した同一階層のサブドメインであれば制限無く証明書を適用することができます。マルチドメイン証明書の場合は、数に制限はありますが何でも自由にドメインを設定することができます。

ワイルドカード、マルチドメイン証明書のメリット

具体的事例を挙げると、さくらのレンタルサーバでは *.sakura.ne.jp を初期ドメインとしてお客様へ提供し、最初からSSL通信を利用することが可能です。ところが、初期ドメインの *(アスタリスク)部分はお客様が任意で文字列を設定できるため、あらかじめ証明書を用意することができません。このような場合にワイルドカード証明書を設定しておくと、お客様が自由に初期ドメインを設定することができ、すぐにSSL通信を利用できるというメリットがあります。ワイルドカード証明書は、サブドメインが複数ある場合や、証明書の購入後にサブドメインが増える場合、非常に多くのサブドメインに適用する場合に効果を発揮します。

マルチドメイン証明書の場合はさらに利用範囲が広がります。例えば、さくらインターネットでは様々なサイトを運営しています。その中には階層だけが異なるもの、ドメイン自体が異なるものがあります。そういった様々なドメインを全て1枚の証明書でまかなうことができるのがマルチドメイン証明書のメリットです。

証明書の管理はサイトの数が多くなると飛躍的に面倒になります。証明書を追加するたびに、CSRなどを準備する手間や購入する手間、有効期限を管理して更新作業をする手間などが発生するため、数が多いほど管理が煩雑になり、運用負荷も増大します。ワイルドカード証明書やマルチドメイン証明書は、ドメインの数だけ証明書を買う場合より割高になることが多いですが、大きなコスト削減効果を勘案して導入する企業が増えています。

ワイルドカード、マルチドメイン証明書のデメリット

しかし、こんなに便利な証明書にもデメリットが2つあります。 まず、ワイルドカード証明書は最も厳格な認証方式であるEV認証に対応していないという点があります。このため、EV SSL証明書を利用したい場合はワイルドカードが選択できません。ワイルドカード証明書で対応している認証方式は、ドメイン認証(DV)と企業認証(OV)の2つになります。

次にセキュリティ的なリスクがあります。 例えば、コモンネームに*.sakura.ad.jpを指定したワイルドカード証明書の秘密鍵が流出した場合、secure.sakura.ad.jpのような会員認証やクレジットカード情報の入力に利用される重要なドメインの証明書も危殆化してしまいます。マルチドメイン証明書の場合、さらにドメインをまたいでリスクを負うことになるので、この点は認識しておく必要があります。非常に便利な証明書ですが、全てのサイトに影響が出てしまう可能性があることも覚えておきましょう。

最後に

さくらのSSLでは、JPRS社のドメイン認証型ワイルドカードやサイバートラスト社のSureServer ワイルドカード for SAKURA、グローバルサイン社のクイック認証SSL※など提供しております。1万円台から企業認証の付いた10万円台のものまで幅広く取り揃えておりますのでご検討ください。マルチドメイン証明書については、現在さくらのSSLでの取り扱いはありませんが、今後の取り扱いについて鋭意検討を行っております。

  • ※ワイルドカード機能は有料オプションです。

常時SSL化が進んでいる今、複数ドメインを1枚の証明書で管理できるワイルドカード証明書、マルチドメイン証明書をぜひご検討ください。

最終更新日:2018.6.4