ワイルドカード証明書 わいるどかーどしょうめいしょ
ワイルドカード証明書アスタリスクサブドメインSSLコスト削減TLS
ワイルドカード証明書について教えて
簡単に言うとこんな感じ!
*.example.com のように「アスタリスク(*)」を使って、1枚の証明書で複数のサブドメインを一括でカバーできる証明書だよ。www.example.comもshop.example.comも1枚でOKなんだ!
ワイルドカード証明書とは
ワイルドカード証明書(Wildcard Certificate) とは、コモンネーム(CN)またはSAN(Subject Alternative Name)に *.example.com のようにアスタリスク(*)を使った証明書で、1枚の証明書で複数のサブドメインをカバーできます。
たとえば *.example.com の証明書があれば、以下のドメインすべてに使用できます。
www.example.comshop.example.comapi.example.commail.example.com
ただし、アスタリスクはレベルを1つしか置換しないため、sub.api.example.com(2階層のサブドメイン)はカバーできません。また example.com(ルートドメイン自体)もカバーされません。
ワイルドカード証明書の特徴
| 項目 | 内容 |
|---|---|
| カバー範囲 | *.example.com(第1レベルのサブドメイン全部) |
| ルートドメイン | カバーしない(別途SAN追加か別証明書が必要) |
| 複数階層 | 対応しない(*.*.example.com は無効) |
| コスト | 通常証明書より高いが、複数ドメイン分の一括コストより安い |
| Let’s Encrypt | DNS-01チャレンジで取得可能(無料) |
| リスク | 秘密鍵が漏洩すると全サブドメインが危険になる |
歴史と背景
- 1990年代後半:SSL普及初期からワイルドカード証明書の概念は存在
- 2000年代:商用CAが有料でワイルドカード証明書を提供開始
- 2018年3月:Let’s Encryptがワイルドカード証明書の無償提供を開始(ACMEのDNS-01チャレンジ経由)
- 現在:SaaS・クラウドサービスでサブドメイン単位にテナントを割り当てる用途で広く使用
通常証明書・ワイルドカード証明書・マルチSAN証明書の比較
| 種類 | カバー範囲 | メリット | デメリット |
|---|---|---|---|
| 通常(シングル)証明書 | 1ドメインのみ | 安い・シンプル | ドメインごとに必要 |
| ワイルドカード証明書 | *.example.com 全部 | 同一ドメインのサブドメイン一括管理 | 複数のベースドメインはNG |
| マルチSAN証明書 | 最大100ドメインを任意指定 | 異なるドメインを一括管理 | 変更のたびに証明書の再発行が必要 |
ワイルドカード証明書のカバー範囲
*.example.com で保護されるドメイン:
✔ www.example.com
✔ shop.example.com
✔ api.example.com
✔ (任意の1レベルサブドメイン).example.com
保護されないドメイン:
✘ example.com (ルートドメイン)
✘ a.b.example.com (2階層のサブドメイン)
✘ other.com (別のドメイン)関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 2818 | HTTPSにおけるホスト名検証(ワイルドカード含む) |
| RFC 6125 | TLSにおけるサーバー識別とワイルドカードの扱い |
| CA/Browser Forum TLS BR | ワイルドカード証明書の発行要件 |
関連用語
- サーバー証明書・中間証明書・ルート証明書 — ワイルドカード証明書の種類と位置づけ
- Let’s Encrypt — ワイルドカード証明書を無償提供するCA
- 証明書の有効期限と運用 — ワイルドカード証明書の更新管理
- 証明書ピンニング — ワイルドカード証明書との組み合わせ時の注意点