初心者でもわかるssl_support_methodの基本と主な指定値解説

はじめに

目的

この文書は、AWS CloudFront における ssl_support_method の設定を分かりやすく説明することを目的とします。主にカスタム SSL 証明書を使う際に、どの方式でクライアントに HTTPS を提供するかを理解できるようにします。

概要

ssl_support_method は CloudFront の配信設定で使うパラメータです。簡単に言うと、証明書を使って HTTPS をどう提供するかを選びます。方式には、SNI（サーバ名表示）対応のクライアント向けの方法と、古いクライアント向けの方法があります。例えば、最新のブラウザやスマートフォンは SNI を使えますが、古い OS や古いブラウザは対応しない場合があります。

対象読者

CloudFront を設定する運用者や開発者、SSL の扱いに慣れていない方にも読めるように配慮しています。

本書の進め方

第2章で ssl_support_method の意味を詳しく説明し、第3章で主な指定値を取り上げます。第4章では関連する他のパラメータとの関係を解説します。

ssl_support_method とは

概要

ssl_support_method（API 名: SSLSupportMethod、CloudFormation: SslSupportMethod）は、CloudFront でカスタムドメインに独自の SSL/TLS 証明書を割り当てる際に使う設定です。このパラメータで、SNI（Server Name Indication）対応クライアントのみを対象にするか、SNI 非対応の古いクライアントも含めるかを選べます。

SNI とは簡単に

SNI は、一つの IP アドレスで複数のドメインを区別して証明書を使う仕組みです。現代の多くのブラウザや OS は SNI に対応していますが、ごく一部の古い環境は未対応です。

主な違い（分かりやすい例）

• sni-only: 現代のブラウザを対象にします。多くのユーザーに有効で、IP アドレスの節約につながります。ほとんどのケースでこちらを選べます。
• vip（専用 IP）: SNI 非対応の古い端末を使うユーザー向けです。専用 IP を割り当てるため、互換性は高くなりますが、リソース面で制約や追加コストが発生する場合があります。

いつ使うか（判断の目安）

• 大半の利用者が現代的なブラウザなら sni-only を選びます。
• 特定の顧客に古い端末（例: 非対応の組み込み機器や非常に古いブラウザ）が多い場合は vip を検討します。

補足

この設定は、CloudFront にカスタム証明書を設定する場面でのみ意味を持ちます。既定では sni-only が最も一般的で、運用も簡単です。

主な指定値

概要

ここでは ssl_support_method の代表的な指定値「sni-only」と「vip」を、特徴・メリット・注意点・利用シーンの順でわかりやすく説明します。

sni-only

• 特徴: SNI（Server Name Indication）に対応するクライアントだけを対象にHTTPSを提供します。追加の固定IPを割り当てません。
• メリット: 多くの現行ブラウザやスマートフォンで問題なく動作し、IPコストがかかりません。複数ドメインを同一IPで共存させやすいです。
• 注意点: ごく古いブラウザや一部の組み込み機器など、SNI非対応のクライアントは接続できません。対象ユーザーに古い環境が多い場合は確認が必要です。
• 利用シーン: 一般的なウェブサイトやモバイル向けサービスなど、現代的な環境を前提とした運用に向きます。

vip

• 特徴: 固定IP（専用IP）を割り当ててHTTPSを提供し、SNI非対応クライアントにも対応します。
• メリット: 古い端末や特殊なクライアントを確実にサポートできます。互換性を重視する環境で安心して使えます。
• 注意点: 固定IPの配分や追加料金が発生します。IP数に制限があるため、コストと運用のバランスを検討してください。
• 利用シーン: 古い社内システムやレガシー端末を多く抱える環境、特定の互換性を保証する必要があるサービスで選ばれます。

関連パラメータとの関係

概要

ssl_support_method はカスタム SSL 証明書を選んだときに意味を持つ設定です。”Custom SSL client support（Client that support SNI / Legacy clients support）”の実体であり、SNI ベースかレガシー IP ベースかを決めます。

主な関連パラメータと関係

• 証明書の格納先（ACM / IAM / デフォルト）

• カスタム証明書を使う場合、どこに証明書を置くかが重要です。ACM や IAM のどちらを使うかで手順が変わります。サービスによっては保存場所に制約があります。

• 最小プロトコルバージョン / セキュリティポリシー

• sni-only を指定すると、新しい TLS ポリシー（TLS1.2 / TLS1.3 など）を選択しやすくなります。これにより暗号強度が上がりますが、古いクライアントでは接続できないことがあります。

• ドメイン名（CNAME / Alternate Names）

• 証明書の SAN（Subject Alternative Names）と配信するドメインが一致している必要があります。ミスマッチだとブラウザが警告を出します。

• コストと互換性

• sni-only は専用 IP を必要としないため基本的にコストが低くなります。古い端末（SNI 非対応）をサポートするにはレガシー（IP ベース）を選ぶ必要があり、追加費用が発生する場合があります。

運用上の注意

• カスタム証明書を使う場合は、証明書の有効期限管理と対応クライアントの範囲を合わせて検討してください。したがって、セキュリティと互換性のバランスを意識して設定を選びます。

(ここで紹介した項目は、実際のサービス固有の名前や制約と照らして確認してください。)