TLSサーバ証明書とは

ちまたで言うSSLは今は技術的に発展したTLSのこと。これに対応したサイトのURLがhttps://で始まるので、HTTPSとも呼ばれる。以降TLSと表記する。


    TLSサーバ証明書の役割

    インターネットの途中経路は基本的に専用線ではなく、セキュリティのために下記の対応が必要。

    これを担うのがTLSサーバ証明書で、Webサーバの運営者が公的な認証局から取得し設定する。

    Let's Encryptはブラウザに組み込まれている認証局であり、TLSサーバ証明書(ドメイン認証)を簡単なcertbotコマンドでいつでもすぐに無料で取得できるようになった。革命的。

    なお、TLS対応サイトはGoogle検索の掲載順位が若干上がるらしい。


    TLSサーバ証明書の種類

    TLSサーバ証明書には種類があり、それによって信頼性も、ブラウザ・アドレスバーの表示も変わる(Firefoxの例)。

    1. 証明書なしの場合: アドレスバーのアイコンは灰色だったりする。
    2. ドメイン認証(DV): certbotコマンドで取得するのはこれ。緑色の錠前アイコンだったりする。
    3. 企業認証(OV): 個人は取得できず、企業の実在性を電話などでも確認する。
    4. EV認証: OVよりもさらに厳格に企業の実在性を確認する。

    SAN(Subject Alternative Name)の証明書

    SANによる証明書とは、一つの証明書でサブドメインなど複数のドメインを認証をしたもの。

    1回のcertbotコマンドで複数のドメインを指定すると、各々の証明書ができるのではなく、SANによる1枚の証明書となる。指定一つ目のドメインが代表として証明書の「一般名称(CN)」に記載され、全ドメインは「SAN」項目に記載される形式。

    FirefoxでSANの項目を確認するには、サイトを出して、Ctrl + i › セキュリティ › 証明書を表示 › 詳細 › 証明書のフィールド › Certificate Subject Alt Name

    サブドメインごとに証明書を作ってもよいが、証明書ファイルパスが別々になるので管理が煩雑になるかもしれない。