はじめに
目的
本ドキュメントはSSL証明書の種類と選び方を分かりやすく解説することを目的としています。技術的な背景を簡潔に説明し、用途に応じた適切な証明書が選べるように設計しました。
対象読者
- 個人でサイトを運営している方(ブログや小規模サイト)
- ネットショップや企業サイトを担当する方
- サイトの安全性や信頼性を向上させたい管理者
本書で学べること
- SSL証明書の基本的な役割(通信の暗号化と信頼の確立)
- 証明書の階層構造と発行の流れ
- 認証レベル別の特徴と使い分け(簡単な例つき)
- ドメイン数による種類とその利点・欠点
- 用途に合わせた選び方の実践的な基準
読み方のヒント
まず第2章で基本を押さし、第4章以降で自分の用途に合った証明書を確認すると効率的です。各章に具体例と比較を載せますので、実際の導入判断に役立ててください。
SSL証明書とは
この章の目的
SSL(一般にTLSと呼ばれるものを含む)と、その証明書が何をするかをやさしく説明します。専門用語は最小限にし、具体例で理解しやすくします。
SSLとTLSの違い
TLSは現在使われている最新の仕組みで、かつてのSSLを改良したものです。日常では『SSL証明書』と呼ぶことが多いので、本章でもその呼び方で説明します。
SSL証明書とは
SSL証明書は、ウェブサイトが本物であることを示し、通信を暗号化するための電子的な証明書です。認証局(CA)が発行します。例として、無料のLet’s Encryptや有料の認証局があります。
かんたんな仕組み(具体例)
- ブラウザがアクセスすると、サイトは証明書を提示します。
- 証明書に含まれる公開鍵で安全な鍵交換を行い、その後の通信を暗号化します。
- 結果、ログイン情報やクレジットカード番号などが第三者に見られにくくなります。
証明書の主な中身
- ドメイン名(例: example.com)
- 発行者(どの認証局が出したか)
- 有効期限(期限切れだと警告が出ます)
- 公開鍵(暗号化で使う)
どんな場面で必要か
- ログインページやオンラインショップ(個人情報を扱う)
- 会員サイトや管理画面
- API通信(サービス間のやり取り)
管理のポイント
- 証明書は有効期限があり、期限前に更新します。
- 無料・有料の選択は信頼性やサポートで判断します。
- ブラウザの鍵アイコン(鍵や錠前)で正しく保護されているか確認できます。
この章で基本を押さえれば、次章の詳しい階層構造や種類の理解がスムーズになります。
SSL証明書の階層構造
全体像
SSL証明書は「ルート証明書」「中間CA証明書」「SSLサーバー証明書」の三層構造で成り立ちます。最上位のルート証明書が信頼の起点です。中間CAがルートに署名し、さらにサーバー証明書が中間CAに署名されることで信頼の連鎖(チェーン)ができます。
各層の役割と例
- ルート証明書:OSやブラウザにあらかじめ組み込まれます。自己署名され、最も強い信頼を持ちます。
- 中間CA証明書:認証局(CA)が管理します。ルートの代わりに署名を行い、運用リスクを下げます。例えば、Let’s Encryptは中間CAを使って多数のサーバー証明書を発行します。
- SSLサーバー証明書:ウェブサイトが自身のドメイン用に設置します。利用者のブラウザはこの証明書から上位へたどり、最終的にルートに到達できれば信頼されます。
信頼チェーンの仕組み
ブラウザはサーバーから送られた証明書と中間証明書を受け取り、順に署名者を確認します。途中の中間証明書が欠けると「信頼できない」と表示されます。多くのサーバーでは中間証明書をまとめたファイル(フルチェーン)を設定します。
運用上の注意点
- ルートは頻繁に更新しませんが、中間やサーバー証明書は有効期限や失効処理を確認してください。
- 中間を正しく配布しないと接続エラーになります。設定を確認し、チェーンが完全かテストで確認してください。
認証レベルによる3つの種類
SSLサーバー証明書は、認証局が確認する範囲により3つのレベルに分かれます。ここではそれぞれの特徴と、どのようなサイトに向くかを具体例で紹介します。
1. ドメイン認証(DV)
ドメインの所有権や管理権を確認して発行します。確認方法はメールやDNSの設定など簡単です。発行が速く費用も安いので、個人ブログやテスト環境に適しています。ただし発行時点で運営者の実在は確認しないため、信頼性は限定的です。
2. 企業認証(OV)
申請者の企業情報を公的な登記簿などで確認して発行します。運営組織が実在することを証明できるため、顧客に対する信頼性が高まります。中小企業のコーポレートサイトやECサイトによく使われますが、審査に数日かかり費用もDVより高めです。
3. EV認証(EV)
最も厳格な審査を行い、運営組織と申請者の詳細を確認して発行します。銀行や大手サービスのように高い信頼が求められる場面に適しています。審査は最も時間と手間がかかり、費用も高いです。
選び方のポイント
- 暗号化だけで十分:DV
- 企業の実在を示したい:OV
- 高度な信頼性が必要:EV
用途や予算を基に選ぶとよいです。
保護できるドメイン数による分類
概要
SSL証明書は保護できるドメイン数で大きく3種類に分かれます。用途や運用の規模によって選び方が変わるので、実際の例を交えて分かりやすく説明します。
シングルドメイン証明書
- 保護範囲:1つの完全修飾ドメイン(例:www.example.com)のみ。
- 具体例:www.example.com の全ページを暗号化します。example.com や blog.example.com は含まれません。
- メリット:発行や管理が簡単で費用も安め。小規模サイト向けです。
- 注意点:サブドメインを追加する場合は別途証明書が必要です。
ワイルドカード証明書
- 保護範囲:あるドメインのサブドメインをまとめて保護(例:*.example.com)。
- 具体例:www.example.com、blog.example.com、shop.example.com を一枚でカバーします。
- メリット:多数のサブドメインを運用する場合に管理が楽でコスト削減につながります。
- 注意点:ワイルドカードは1階層のサブドメインのみ(*.example.com は a.b.example.com をカバーしません)。ルートドメイン(example.com)は別扱いになることもあります。
マルチドメイン証明書(SAN/UCC型)
- 保護範囲:異なる複数ドメインやサブドメインを1枚で指定して保護できます。
- 具体例:www.example.com、example.net、mail.example.org を同じ証明書で使えます。
- メリット:ドメインが異なるサービスをまとめて管理でき、混在環境に便利です。
- 注意点:登録するドメイン数の上限や追加費用を確認してください。ワイルドカードと組み合わせられる場合もありますが、CAごとに仕様が異なります。
選び方の目安
- サイトが1つだけ:シングルドメイン
- 同一ドメインの多数のサブドメイン:ワイルドカード
- 異なるドメインや混在運用:マルチドメイン(SAN/UCC)
運用の手間とコストを比べて選ぶとよいです。
SSL証明書の選択基準
1. サイトの用途を最優先に考える
個人ブログや趣味のサイトなら、ドメイン認証(DV)で十分です。例:問い合わせフォームがない情報発信サイト。企業の公式サイトや会員管理がある場合は企業認証(OV)以上を検討してください。ECサイトやクレジット決済を扱う場合は、厳格な審査を行うEVが望ましいです。
2. 保護したいドメイン数で選ぶ
1つのドメインだけなら通常の証明書で足ります。サブドメインを多数運用するならワイルドカード証明書、複数ドメイン(例:example.com, example.net)をまとめるならマルチドメイン(SAN)証明書を選びます。
3. 予算と運用の手間
無料の証明書はコストを下げられますが、短期間で更新が必要な場合があります。有料はサポートや長期間の発行があるため運用負担が軽くなることが多いです。
4. 発行速度とサポート
すぐに導入したい場合はDVが最短です。企業で責任者や契約が必要ならOVやEVは発行に時間がかかります。導入後のサポート体制も確認してください。
5. 互換性と信頼性
古い端末や特殊な環境での互換性が必要なら、主要な認証局(CA)の証明書を選ぶと安心です。
まとめ
SSL証明書は認証レベルで「ドメイン認証(DV)」「企業認証(OV)」「EV認証」の3種類に分かれます。それぞれ審査の厳しさと利用者からの信頼度が異なります。保護できる範囲は「シングルドメイン」「ワイルドカード(サブドメイン含む)」「マルチドメイン(SAN)」の三つです。これらを組み合わせて選びます。
実際の選び方はサイトの性質で決まります。個人ブログや試作サイトならシングルドメイン+DVで十分です。ネットショップや企業サイトはOVやEVを検討してください。複数のサブドメインがある場合はワイルドカード、別ドメインを複数まとめるならマルチドメインが便利です。コストと発行までの時間も考慮してください。
簡単なチェックリスト:
– 扱う情報の機密性(個人情報や決済情報があるか)
– 保護すべきドメイン数と構成(サブドメインの有無)
– 信頼性と表示(顧客に見せたい信頼のレベル)
– 予算と発行スピード
迷ったら、まずはサイトの目的と守るべき情報を明確にしてから候補を比較してください。必要なら販売業者やホスティング会社に相談すると安心です。
