1枚の証明書で複数のサイトに使えるワイルドカード証明書ですが、メリットだらけで特にデメリットはなさそうです。
ワイルドカード証明書に何かデメリットはあるのでしょうか。
ワイルドカードの証明書とは
通常のシングルのサーバ証明書だと、コモンネームごとに証明書を購入して設定する必要がありますが、ワイルドカード証明書であれば、1枚の証明書で対応可能です。
ワイルドカード証明書を使える条件としては、
- ドメインが共通であること
- アスタリスクの位置がずれていないこと
となりますので、それぞれについて説明します。
ドメインが共通であること
ドメインとはexample.comやexample.co.jpなどを指します。
ワイルドカードはドメインが共通であることが前提となりますので、ドメインが異なる場合は対応できません。
*.example.com
として取得したワイルドカードは
www.example.comやssl.example.comで使うことはできますが、
www.example.co.jpやwww.example2.comでは使うことはできません。
アスタリスクの位置がずれていないこと
アスタリスク(ワイルドカードとして働く場所)の位置がずれていると使えません。
*.example.comとして取得したワイルドカードは
www.test.example.comやssl.test.www.example.com
としては使えません。
以上がワイルドカード証明書の基本ですね。
ワイルドカード証明書のメリット
まずはワイルドカード証明書のメリットについてです。
運用負荷を削減できる
一台のサーバで複数のサイトを運用している場合は、それぞのサイトごとにサーバ証明書を管理しなければなりませんが、ワイルドカードにすれば1枚だけの管理で済みますので、かなり運用負荷を下げることができます。
証明書には有効期限がありますが、有効期限を迎える前に更新しなければなりません。
ワイルドカードにすれば、有効期限は1つの管理で済みますので、かなり運用担当者の負荷が下がると思います。
コストの削減ができる
場合にもよりますが、証明書を1枚、1枚購入するよりもワイルドカードのほうがコストを抑えることができます。
大量に同一ドメインのサブドメインのサイトがあればワイルドカードのほうが断然お得になるでしょうね。
IPアドレスを複数使わなくて済む
ワイルドカードであればIPアドレスが一つで済みますので、グローバルIPアドレスを複数使うことがなくて済みますね。
ワイルドカード証明書のデメリット
それではワイルドカード証明書のデメリットです。
どうですか?これはあまりたいした内容ではないですね。
スマホの普及率が7割、8割まで到達している現在、ガラケーに対応していないというのはそれほどデメリットにならないと思います。
ガラケーユーザのメインは小学生以下とか、お年寄りとかになるかもしれませんが、その人たちがインターネット接続してウェブサイト見まくり、みたいなことはないと思いますし。
ちなみにワイルドカードの対応状況としては、PCだとWindows XP以降であれば対応していますし、スマホも100%対応ですね。
これはちょっと穏やかじゃないですね。
ワイルドカード証明書にはセキュリティリスクがあるのでは?という話なんですが、この理由としては、証明書を1枚でまかなえるということは、秘密鍵も1つというところから出てくる話です。
もしも、秘密鍵が危殆化した場合に、このワイルドカード証明書を使っているサイト全てに影響が出るのですが、それがセキュリティリスクになるということですね。
確かに複数のサイトを運用している場合は、芋づる式にどのサイトも危殆化することになるので、セキュリティリスクと言えば、そうかもしれません。
一部の機器ではワイルドカードの設定がOFFで出荷されているものもあるようです。
ワイルドカード証明書はEVでは発行できない
これはデメリットというよりも注意点という感じですが、EVの仕様としてワイルドカード証明書では取得できません。よって、ワイルドカードを購入するのであればOVもしくはDVの証明書しか選択肢にあがってきません。
まとめ
ワイルドカードの証明書についてはガラケー未対応、セキュリティリスクはある、ということが確認できました。
ガラケーに対応していないというのは、ガラケーユーザが一部であり、また、そのガラケーでどれだけWeb閲覧をするのか?というところですので、あまり気にしなくて良いのではないでしょうか。
セキュリティリスクについては、確かに複数のサイトに影響を及ぼすというリスクはありますが、そこはしっかりと秘密鍵を管理することでリスク低減できるのではないでしょうか。(秘密鍵の管理はワイルドカードに限らず厳重に行われるべきです)
使うことができるのであれば、コスト面、管理面からワイルドカードの証明書はおすすめだと思います。
コメント