ドメイン番人
SSLWeb 担当者ドメイン

サブドメイン SSL は個別取得が必要?

ドメイン番人4 分で読めます
目次

サブドメイン SSL の 3 つの方式

この記事でわかること

  • サブドメインを SSL 化する 3 つの方式(個別 / マルチドメイン / ワイルドカード)
  • それぞれの運用コストと費用
  • 中小企業が選ぶべき方式の判断基準
  • サブドメイン追加時に陥りがちな運用ミス

サブドメインごとに別証明書が要る理由

SSL 証明書は、原則として「証明書に書かれているホスト名」と「アクセスされた URL のホスト名」が一致しないと有効になりません。

つまり www.example.com 用の証明書では、blog.example.com はカバーできません。サブドメインが増えれば、何らかの形でそれぞれをカバーする必要があります。

このカバーの仕方が 3 つあります。

方式 1: 個別に取得する

サブドメインごとに SSL 証明書を発行・更新する方式です。

メリット

  • 1 つのサブドメインで何かあっても、他に影響しない
  • レンタルサーバーの自動 SSL(Let's Encrypt)と相性がよく、追加コスト不要
  • 鍵漏洩や設定ミスの影響範囲が限定される

デメリット

  • サブドメインが増えるたびに証明書発行作業が発生
  • 期限管理対象が増えていく
  • 多数のサブドメインで運用が煩雑になる

主要レンタルサーバー(Xserver / さくら / ConoHa / お名前.com / ロリポップ)はサブドメインごとの自動 SSL 発行を標準提供しているため、サブドメインが 5〜10 個程度の小〜中規模ならこの方式で十分です。

方式 2: マルチドメイン SSL(SAN)

1 枚の証明書に「複数のホスト名」を SAN(Subject Alternative Name)として併記する方式です。

メリット

  • 1 枚の管理で複数ホスト名をカバー
  • 「ドメインそのものが違う」場合(example.com と example.co.jp など)にも使える
  • 証明書 1 枚を複数サーバーで使い回せる

デメリット

  • ホスト名を追加するたびに証明書の再発行が必要
  • 商用 SAN 証明書はコストが上がる(年額数万円〜十数万円)
  • 1 枚の鍵漏洩で全 SAN 対象に影響

「異なるドメインを 1 枚にまとめたい」場面では SAN が選ばれます。サブドメインだけなら次のワイルドカードの方が運用は楽です。

方式 3: ワイルドカード SSL

*.example.com で 1 階層下のサブドメイン全部を 1 枚でカバーする方式です。

メリット

  • サブドメインが何個増えても証明書側の作業ゼロ
  • 動的にサブドメインを発行する SaaS と相性がよい

デメリット

  • 1 枚の証明書(と秘密鍵)に依存度が高い、鍵漏洩のインパクトが大きい
  • 失効時に全サブドメインが同時停止
  • 2 階層下(shop.jp.example.com など)は別途必要
  • 無料の Let's Encrypt で取るには DNS-01 認証が必須(対応サーバーの確認要)

詳しい使いどころはワイルドカード SSL はいつ必要?を参照。

中小企業の判断基準

サブドメイン数で見る方式選定

サブドメインの数と運用方針で判断軸を整理します。

サブドメイン数 推奨方式 理由
2〜3 個(www / blog / mail 等) 個別 SSL レンタルサーバー自動発行で十分
4〜10 個(部署別 / サービス別) 個別 SSL まだ管理対象として現実的
10 個以上で固定 ワイルドカード SSL 管理コスト削減効果が出る
動的に追加する SaaS ワイルドカード SSL 必須に近い
異なるドメインを 1 枚で扱いたい SAN(マルチドメイン)SSL これは別物の選択肢

サブドメインそのものの設計判断はサブドメインとは|使い分けとメールを参照。

サブドメイン追加時の運用ミス

サブドメインを増やすときに起きやすい SSL 関連のミスを 3 つ挙げておきます。

ミス 1: 自動発行の対象外サブドメイン

レンタルサーバーの自動 SSL は、コンソールから登録したサブドメインしか対象になりません。CDN や別サーバーで運用するサブドメインは個別に証明書を準備する必要があります。

ミス 2: 古いサブドメインの放置

過去のキャンペーン用サブドメインや検証用サブドメインを放置していると、SSL 期限切れで「警告画面が出るサイトを公開し続けている」状態になります。年 1 回の棚卸しを推奨します。

放置サブドメインの監査方法は使われていないサブドメインの棚卸しを参照。

ミス 3: ワイルドカードの落とし穴

*.example.comshop.jp.example.com をカバーしません。多階層構成にしたタイミングで証明書エラーが出るのは典型的な事故。多階層を採用する前に証明書計画を見直します。

まとめ

  • サブドメイン SSL の方式は「個別」「マルチドメイン(SAN)」「ワイルドカード」の 3 つ
  • 通常の中小企業は個別 SSL(レンタルサーバー自動発行)で 10 個程度までは十分
  • 10 個以上または動的追加するならワイルドカードを検討
  • 異なるドメインを 1 枚にまとめたいなら SAN
  • 古いサブドメインの放置と多階層化は典型的な事故源

まずは現状を把握しましょう

自社の SSL 証明書の有効期限と設定状況は、ドメイン番人のSSL 単発チェックで確認できます。メール認証も含めた総合点検は無料診断をご利用ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから