AWSに適切なSSL証明書の購入を考える

どのSSL証明書を買えば良いかよく相談されます

AWS関連のお仕事をするようになって、お客様からよく相談されることの第3位ぐらいにSSL証明書の購入があります。毎回同じ説明するのも面倒なのでw、ブログでまとめたいと思います。

SSL証明書の安心感

SSL証明書には大きく分けて3つ（+1つ）の安心感レベルが存在します。

EV SSL証明書

EV SSL（Extended Validation SSL）証明書は、今のところ最も安心感のある証明書です。これを取得するためには、企業が実際に存在していること等、世界統一の認証プロセスがあり、日本では取得するために企業の登記簿謄本と印鑑証明書等の公的な文書が必要になります。ブラウザのアドレスバーが緑色になったらこの証明書を使っていることになります。最も新しい証明書の種類です。企業が自社の安心感を証明するものとして使うため、お値段もかなり高いです。

企業向けSSL証明書

企業向けSSL証明書は、各社様々な言い回しでサービスを提供しています。これを取得するためには、企業の存在証明が必要です。また、サイトシールと呼ばれるHTMLに埋め込むタイプの画像をクリックすることで、このサイトはどんな企業が提供しているか実在する企業名が表示される安心感があります。ただし、シールを掲載する義務や統一ルールが無いため、一見すると何がどのように安心なのか利用者には分かりづらいかもしれません。お値段は普通です。

クイックSSL

主に正しいSSL証明書を使って通信を暗号化したいだけという用途にピッタリです。誰でもすぐに取得できますので、個人で取得することも簡単です。安心感は高く無いですが、正しい証明書で通信が暗号化されているというデータの秘匿に関する安心感はありますので、とりあえず取得しておくということもあります。値段は安いです。

オレオレSSL

主に動作確認やシステム開発中に使う証明書で、外部の認証機関の証明を受けずに自ら発行する証明書です。もし、外部に公開されているWEBサイトでこれを見たらビミョーだと思ってくださいw。最近はドメインも1000円以下で、クイックSSLも非常に安いのになぜオレオレSSL？と思ってしまいますよね。ほとんどのブラウザでセキュリティアラートが出ますので気をつけてください。

SSL証明書のサービスあれこれ

ここでは、SSL証明書を購入する際に気をつけるべきポイントを確認したいと思います。各社によるサービスの違いが大きいです。

SSL証明書はホスト名毎に取得する

SSL証明書はサブドメインが付いたホスト名毎に取得することができます。昔からあるのはこのタイプです。 dev.example.jpとmail.example.jpは同じドメイン名ですが、FQDNが異なりますので別々に取得する必要があります。 最近は、wwwのありなしだったり、コンテンツ配信用にサブドメインを使ったりすることも多いのでコストが掛かりますね。

SSL証明書の課金タイプはサーバ毎だったりする

昔はクラウドという概念がありませんでしたから、FQDNとは別に、 SSL証明書をインストールするサーバの台数分ライセンスを購入する必要がありました。 しかし、最近はクラウド対応ということで、SSL証明書をインストールするサーバ台数を 考慮せずに使えるタイプが増えてきています。これにより、SSLターミネーション（中間で復号化して処理を軽減する）する ロードバランサーにも気軽に設置できるようになったのです。ELBはこの恩恵を受けています。 柔軟にサーバ台数を変化させることで、コストやビジネスを最適化するクラウド環境の場合、ライセンス費用がサーバ台数毎では選択しづらいですよね。要チェックポイントです。

SSL証明書1つでワイルドカード対応

サブドメイン毎ではなく、ドメイン名毎に取得すればOKというタイプの証明書が登場しました。 これにより、1つの証明書で複数のサブドメインが扱えるようになります。例えば、 dev.example.jpとimg.example.jpとmail.example.jpが1つの証明書で使えるのです。 これのメリットは後からサブドメインを追加してもそのまま使えることですね。Route53は簡単にサブドメインを追加できるので要チェックポイントです。ちなみに、厳格な証明をするEV SSLでは使えませんが、一部業者ではwwwありなしの両対応をしているようですね。

SSL証明書1つでマルチドメイン対応

さらにさらにSSL証明書1つでマルチドメインに対応するようなものも出てきました。例えば、 example1.jpとexample2.jpという異なるドメインを1枚のSSL証明書で対応してしまうというものです。WEBサーバ側でドメイン名ベースのバーチャルホストを設定している場合には良いかもしれませんね。ただし、実際に使うケースを考えるのが難しいかも。

クラウド対応なSSL証明書購入のチェックポイント

最後にクラウド対応なSSL証明書購入のチェックポイントについておさらいです。

• 通信を暗号化するだけならクイックSSLでいいかもよ
• 企業の存在証明をして安心感を演出したいなら企業向けSSLかEV SSLが必要
• ELBで使うなら、配下のサーバ台数に関係ないものを選ぶとベター
• Route53で使うなら、ワイルドカード対応できるものを選ぶとベター

おまけですが、SSL証明書とコード証明書は別物なので気をつけてねw。コード証明書は、アプリケーションをパソコンにインストールするときに添付する証明書です。インストールするときに、どの企業が配布したか分かるようにポップアップでることありますよね。

まとめ

SSL証明書の購入ポイントについていかがでしたでしょうか。各社がサービス競争をする過程で、利用者にとって便利なオプションが多数追加されてきたと思います。はじめてSSL証明書を購入するとき、10社ぐらいのホームページを眺めてみて、各社のサービスの言い回しの違いや、似たり寄ったりな部分でw、正直何を買えば良いか分からないと思います。値段だけで決めてしまって後から後悔するのはもったいないです。サービス内容を正しく理解して、お客様へのおもてなしを演出するために自社のサービスに合ったSSL証明書を購入しましょう！

参考資料

wikipedia - FQDN