ワイルドカード証明書のメリット&デメリット。サブドメインのSSLサーバー証明書が、これ1枚ですべて対応可！

2020年9月1日から、Safari、Chrome、FirefoxにおけるSSL証明書の有効期限が短縮され、最長2年から398日に変更となりました。これに伴い、認証局各社も販売するSSL証明書の有効期限を短縮しています。

これまで2年ごとだったSSL証明書の更新が、今後は年1回ペースに。1つのサイトだけならまだしも、事業ごと、目的ごとにサブドメインを取得して複数のサイトを運営している場合、更新の負担が大きくなります。

そこで今回は、自社で複数のサイトを運営している方におすすめのSSL証明書「ワイルドカード証明書」をご紹介します。メリット／デメリットも含め、ご利用を考えてみてください。

ワイルドカード証明書とは？

ワイルドカード証明書は、コモンネームに 「*（アスタリスク）」を含むドメイン名を指定したSSLサーバー証明書です。

通常のSSL証明書は、サブドメインごとにサーバー証明書が必要です。しかしワイルドカード証明書を使うと、1ドメインに属するサブドメインすべてを1枚の証明書で保護できます。

たとえば、以下の3ドメインすべてに通常のSSL証明書を発行した場合、SSL証明書は3枚必要です。

• www.goworkship.com
• magazine.goworkship.com
• recruite.goworkship.com

しかし、ワイルドカード証明書なら1枚の証明書だけで保護できます。利用できるサブドメインの数に制限がないため、非常に強力です。

ワイルドカード証明書を利用するメリット

メリット1. コストを削減できる

サブドメインを利用して複数のWebサイトを運用する場合、サブドメインごとにSSL証明書を発行していくと運用コストが増えます。

秘密鍵やCSRファイルの取り扱いはもちろん、サブドメインごとに有効期限を管理して延長手続きをしていく必要があり、管理やメンテナンスの手間がかかりますよね。

ワイルドカード証明書なら1枚の証明書ですべてのサブドメインに適用できるため、価格を抑えつつ、管理コストも削減可能です。

「価格を重視した結果、管理コストが増大してしまった」というのはよく聞く話ですが、ワイルドカード証明書は両方のコストを抑えられるのが魅力ですね。

メリット2. すぐに導入できる

通常のSSL証明書を利用する場合、サブドメインごとに証明書を申請して審査を待つ必要があります。一方、すでにワイルドカード証明書を発行しているドメインに対し、新たに同じ階層のサブドメインでWebサイトを立ち上げてHTTPS化する場合、認証局への発行申請は不要です。もちろん審査もありません。

発行申請の手間や審査待ちの時間を削減できるので、顧客や製品、キャンペーンごとに毎回サブドメインを用意している場合、これは大きなメリットです。

メリット3. ステージング環境と本番環境とで使い分け不要

開発環境やステージング環境など、本番環境とは異なる環境下であっても、同じサブドメインのなかでなら同じワイルドカード証明書を使って環境構築ができます。

証明書の設定も含めて動作確認ができますし、環境ごとの違いや設定変更の手間をなくすことも可能です。

ワイルドカード証明書を利用するデメリット

デメリット1. EV認証非対応

ワイルドカード証明書は、実在証明拡張（EV）型の証明書を発行できません。『CA/Browser Forum（※）』の規定により、発行を認められていないためです。

導入検討中のサイトにEV認証が必要なものが含まれる場合、ワイルドカード証明書は適しません。

ただし、EV認証が必要なサイトのみ、別途EV認証型SSL証明書を用意する対応もできます。

（※認証局とブラウザベンダーなどが集まり、通信の安全性や利便性向上のためガイドラインを策定している団体）

デメリット2. ガラケー非対応

ワイルドカード証明書は、残念ながらガラケーに対応していません。そのためワイルドカード証明書を使っているWebサイトにガラケーでアクセスしても、サイトを表示することはできません。

とはいえ、ガラケーは3G回線の終了とともに使えなくなります。携帯電話大手の3キャリアが発表する3G回線のサービス終了時期は以下の通り。

• au：2022年3月末
• Softbank：2024年1月下旬
• docomo：2026年3月末

つまり、いまガラケーを使っているユーザーも、サービス終了に備えてスマートフォンへの切り替えを進めていくと予想されます。

ワイルドカード証明書はガラケー非対応ですが、ガラケーのサービス終了は決まっているため、それほど大きなデメリットではありません。

デメリット3. セキュリティ上のリスクがある

万が一、利用しているワイルドカード証明書にトラブルが発生した場合、同じ証明書を利用しているすべてのWebサイトにセキュリティ上のリスクが発生します。

もしワイルドカード証明書の機密情報が外部に漏れてしまったら、顧客の個人情報やクレジットカード情報を流出させてしまうことも。

ワイルドカード証明書にはメリットも多いですが、重大なセキュリティ上のリスクがあることも知っておきましょう。

ワイルドカード証明書を導入する際のチェックポイント

ワイルドカード証明書のメリット／デメリットを理解し、メリットを重視してこれを導入したいと考える方もいるでしょう。

しかしワイルドカード証明書には導入できる環境と、そうでない環境があります。

導入時のチェックポイントを紹介しますので、導入検討中の環境と照らし合わせて確認してみてください。

ポイント1. サーバーはワイルドカード証明書に対応しているか？

じつはSSL証明書の代替としてそのまま使えるわけではなく、ワイルドカード証明書に対応していないサーバーもあります。

小規模のWebサイトの場合は実務でもレンタルサーバーを使うことがあります。しかし残念ながら、ワイルドカード証明書はレンタルサーバー側が対応していないことも多いです。

人気どころを例にすると、2020年12月現在、以下のレンタルサーバーは公式サイトでワイルドカード証明書の非対応を明言しています。

• さくらのレンタルサーバ
• さくらのマネージドサーバ
• ConoHa WING

まずは導入予定のサーバーがワイルドカード証明書に対応しているか、しっかりと確認しましょう。

ポイント2. セキュリティポリシーは同一か？

サブドメインごとに利用しているWebサーバーが異なる場合、1つのワイルドカード証明書の秘密鍵をそれぞれ異なるWebサーバーに設定することになります。

同じドメインに属するサブドメインであっても、Webサーバーの運営組織や管理者が異なるなどの理由によりセキュリティポリシーが異なる場合、秘密鍵を共有できません。

セキュリティポリシーが異なるために、ワイルドカード証明書が使えないこともあるため注意しましょう。

ポイント3. 複数階層のサブドメインでないか？

ワイルドカード証明書は、一般的に複数階層のサブドメインには対応していません。

たとえば、

• magazine.goworkship.com
• recruite.goworkship.com

のようなドメインには対応していますが、追加で「magazine.campaign.goworkship.com」というサブドメインを同じワイルドカード証明書で保護したいと思っても、このサブドメインだけ他と階層が異なるため対応できないのです。

ワイルドカード証明書を導入しようとしているサイト群に、階層が異なるものが含まれていないかをチェックしましょう。

もっとも最近は『SureServer Prime ワイルドカード』など、複数階層のサブドメインにも対応するワイルドカード証明書も登場しています。ただし、複数階層に対応できるぶん高額になるため、予算にあわせて検討するようにしましょう。

まとめ

サブドメインを利用して複数のサイトを運営している場合、ワイルドカード証明書を導入すれば、管理／運用面でのコストが削減できます。

新たに同じ階層でWebサイトを立ち上げる際には、認証局による審査を待たずにSSL化できるため、迅速な対応が可能に。

しかしこのようなメリットがある一方、ガラケーやEV認証に非対応で、秘密鍵が漏洩した際にはすべてのサイトに影響が及ぶなどのリスクもあります。

メリットとデメリット、そして対応環境について理解した上で、最適な証明書を選びましょう！

（執筆：fuzuki　編集：齊藤颯人）