ドメイン番人
SSLWeb 担当者学習ドメイン

ワイルドカード SSL 証明書はいつ必要?

ドメイン番人4 分で読めます
目次

ワイルドカード SSL は 1 枚で全サブドメインに効く

この記事でわかること

  • ワイルドカード SSL 証明書が「何をカバーするか」「何をカバーしないか」
  • 通常の SSL 証明書との使い分け
  • 本当に必要なケースと、過剰投資になるケース
  • 導入時の運用上の注意点

ワイルドカード SSL 証明書とは

通常の SSL 証明書は「shop.example.com」のように、特定の 1 つのホスト名に対して発行されます。これに対しワイルドカード SSL は、コモンネームにアスタリスク(記号)を使ったホスト指定を含み、example.com の任意のサブドメイン 1 階層を 1 枚の証明書でまとめて保護できます。

具体的には次のような対応関係です。

  • \*.example.com でカバーされる: www / shop / blog / api / mail.example.com など
  • カバーされない: example.com 本体(apex 自体は別。多くの認証局は SAN として併記される運用)
  • カバーされない: shop.jp.example.com などの 2 階層下のサブドメイン

「ワイルドカード」と聞くと無限に効きそうですが、効くのは指定した階層の 1 階層下のみという点が重要です。

SSL 証明書の基本的な種類分けはSSL 証明書の種類と違いを参照。

通常 SSL との使い分け

通常 SSL とワイルドカードの比較

通常 SSL(ホスト名ごと)

ホスト名ごとに証明書を取得・更新します。サブドメインが 2〜3 個程度なら管理コストは小さく、無料の Let's Encrypt 自動発行とも相性がよい構成です。

サブドメインが増えるたびに証明書発行が必要なため、頻繁にサブドメインを追加するサービスでは運用が煩雑になります。

ワイルドカード SSL

「*.example.com」を 1 枚取れば、その配下のサブドメインがいくつ増えても自動で保護されます。ただし、無料の Let's Encrypt でワイルドカードを取得するには DNS-01 認証(DNS の TXT レコードを書き換える方式)が必須で、レンタルサーバーによっては対応していません。実際の取得手順はLet's Encrypt でワイルドカード証明書を取得する手順にまとめています。

商用のワイルドカード SSL は年額数万円〜十数万円が相場で、サブドメイン数が多い場合に費用対効果が出ます。

マルチドメイン SSL(SAN 証明書)

別物として「異なる複数ドメインを 1 枚に収める SAN 証明書」もあります。example.com と example.co.jp を 1 枚にまとめる用途です。ワイルドカードとは目的が違うので混同しないよう注意。

本当に必要なケース

次のいずれかに当てはまるなら、ワイルドカード SSL は妥当な投資です。

  • 動的にサブドメインを発行する SaaS サービス: 顧客ごとに customer-name.example.com のような URL を払い出す。証明書を都度発行する自動化を組むより、ワイルドカード 1 枚で済む方が運用が楽
  • サブドメインが 10 個以上あり、新規追加も多い: 商用キャンペーンサイト・採用ページ・サポートサイト・社内システムなど
  • 同じ証明書を複数サーバーで共有する大規模運用: Web / API / 配信用と複数のホスト名を共通鍵管理で運用
  • DNS-01 認証で自動更新の仕組みを構築済み: cert-manager 等で Let's Encrypt のワイルドカードを自動取得・更新できる体制

過剰投資になるケース

逆に、次のような場合はワイルドカード SSL は過剰投資です。

  • サブドメインが www / blog / mail の 3 つ程度で固定
  • レンタルサーバー側で個別の自動 SSL(Let's Encrypt)が組み込まれている
  • そもそも複数サブドメインを使い分けていない

「将来サブドメインを増やすかも」程度の理由なら、増えたタイミングで個別に取得した方が結果的に安く済みます。

導入時の運用注意点

ワイルドカード SSL を入れた後で気をつけるべき点があります。

注意 1: 鍵漏洩のインパクトが大きい

1 枚の証明書(と秘密鍵)が、すべてのサブドメインの暗号通信を担います。秘密鍵が漏洩した場合の影響範囲は通常 SSL より広範です。鍵管理ルールを通常 SSL より厳しく運用する必要があります。

注意 2: 失効時に全サブドメインが同時停止する

期限切れや誤った更新で証明書が無効になると、配下の全サブドメインで同時に HTTPS 警告が出ます。期限管理は通常 SSL 以上に重要です。

期限管理の基本はSSL 証明書 有効期限の確認方法に整理しています。

注意 3: 階層をまたぐサブドメインは別証明書

冒頭にも書いた通り、*.example.comshop.jp.example.com をカバーしません。多階層構成にする場合は、追加で *.jp.example.com を別途取得するか、構成を見直すかの判断が必要です。

サブドメインの設計判断はサブドメインとは|使い分けとメールも参考になります。

まとめ

  • ワイルドカード SSL は *.example.com の 1 階層下を 1 枚でカバー
  • 動的サブドメインを払い出す SaaS や、10 個以上のサブドメインがある運用に妥当
  • サブドメインが少数で固定なら通常 SSL で十分
  • 鍵漏洩・失効のインパクトが広いため、鍵管理と期限監視は通常以上に厳しく

まずは現状を把握しましょう

自社の SSL 証明書の有効期限と設定状況は、ドメイン番人のSSL 単発チェックで確認できます。メール認証も含めた総合点検は無料診断をご利用ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから