【初心者向け】SSLサーバ証明書の選び方

2020.01.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コカコーラ大好きカジです。

社内WikiにSSLサーバ証明書の選び方について書いており、ブログ化の希望をもらったのでブログにしてみます。

誤りがありましたらご指摘頂けると幸いです。

SSLサーバ証明書の種類

SSLサーバ証明書は、「SSLによる通信の暗号化」と、「ウェブサイト運営者の身元証明」という2つの機能があります。

暗号化の機能は、認証局や証明書の種類による違いはほとんど無いです。

身元証明の機能は種類によって大きく異なり、種類としては大きく分けて3種類あります。

ドメイン認証(クイック)

ドメイン認証(DV: Domain Validation)

ドメイン名義と運営者の一致のみ確認し、実在確認はしません。

AWS Certificate Manager (ACM)で発行するパブリック証明書もドメイン認証となります。

企業認証

企業認証(OV: Organization Validation)

団体存在確認(登記事項証明書や第三者データベース)

申請責任者の在籍、役職、電話番号確認、電話確認

EV

EV(Extended Validation)

団体存在確認・実在確認(登記事項証明書や第三者データベース)

EVSSL申請責任者確認書の送付・返却

申請責任者の在籍、役職、電話番号確認、電話確認

技術担当者の在籍、電話番号確認、電話確認

簡単な比較表

証明書の種類 EV 企業認証 ドメイン認証
納期 長い 中ぐらい 短い
ブラウザでの表示 鍵マーク+緑のバー 鍵マーク 鍵マーク
ドメインの認証
ウェブサイト運営者の実在確認 -
認証レベル
費用

証明書発行までの認証プロセス概要図

EVは細かい審査があるので、安心感がありますね。一方、ドメイン認証は実在確認していないので、運用者が実在するか確認していないですね。(認証局によってはドメイン認証でも実在確認しているところもあると思います。)

SSLサーバ証明書のオプション

上記の種類の他にオプションがあります。

ワイルドカード

同一のドメイン配下の複数の異なるサブドメインに利用できるSSL証明書。

コモンネームに「*.example.com」を指定することで「www.example.com」や「api.example.com」、「admin.example.com」といったサブドメインが異なるサイトを1枚の証明書でカバーすることができる証明書です。

「*.example.com」で発行されている場合、「example.com」と「*.example.com」がSubject Alternative Nameに登録されて一般的に利用可能ですが、まれに「example.com」と「*.example.com」は別の証明書となる認証局もあるので、要確認です。

マルチドメイン SANs (Subject Alternative Names)

1枚の証明書で複数の別ドメイン(FQDN)を証明し、サイト移行などに使われます。

ベースドメイン+その他数個まで対応

  • 「aaa.example.com」
  • 「aaa.hogehoge.com」
  • 「aaa.fugafuga.com」

サイトシール(セキュアドシール、トラストシール)

コピー防止機能が付いているだけではなく、シール表示の日時スタンプがシール内に組み込まれるため、不正コピーの抑止効果を持つと言われています。

その他機能

DigiCert(旧Symantec)の証明書の場合は、マルウェアスキャンを無償で利用可能です。

また、企業認証、EVの場合は、ウェブサイトの脆弱性診断サービスを無償で利用可能です。

脆弱性アセスメント | DigiCert

ウェブアプリケーション脆弱性診断 | DigiCert

購入用稟議書サンプル

こんなサイトもあります。

SSL/TLSの稟議書サンプル|SSLサーバ証明書 ジオトラスト

SSL稟議書の書き方 | COMODO JAPAN

ライセンスのカウント

DigiCert(旧Symantec)の証明書をAWSで利用する場合はライセンス数の確認が必要です。

Amazon EC2を利用=[コモンネーム数] X [常時稼動するWebインスタンス数]

Elastic Load Balancingを利用する場合は、 ロードバランサ配下の常時稼働するWebインスタンスすべてにライセンスが必要です。

Amazon CloudFrontを利用=1コモンネームあたり「3ライセンス」

EC2とCloudFrontの両方でサーバ証明書を利用する場合、EC2とCloudFrontのそれぞれに上記のライセンスが必要です。

詳細はDigiCert サーバIDのライセンスについて

参考元

SSLサーバ証明書の種類と比較 | DigiCert Symantec

SSLの種類と利用用途|GMOグローバルサイン【公式】

コモドのSSL比較 | COMODO JAPAN

さいごに

構築するサイトに応じて最適なSSLサーバ証明書を選びたいですね。どなたかのお役に立てれば光栄です。