ちょっとした案件のとき無料のLet’s Encryptではなく格安のSSL証明書を使いたい場合があります。格安のSSL証明書ならさくらのSSLのJPRSドメイン認証型をお勧めします。なぜお勧めなのかその無二の理由とは?
SANs完全対応
これに尽きます。他のSSL証明書ではサブドメインのwwwをCNに指定したときしか対応してくれません。SSL証明書二者択一ならさくら、三者択一ならさくらです。
SANsとは何か
日本語ではサブジェクト代替名といいます。(Chromeの証明書ではそうなってる)通常はCNに登録されたドメイン名(FQDN-完全修飾ドメイン名という)以外ではSSL暗号化通信ができないのですが、このSANsに登録されたFQDNに対してもSSL暗号化通信ができるようになります。
SANsにより1枚のSSL証明書で複数のサイトをSSL化できるという訳です。
さくらのSANs完全対応とは何か
どんなCNの申請でもwwwありならwwwなしがSANsに追加され、wwwなしならwwwありがSANsに追加されるというものです。
他のSSL証明書ではサブドメインがwwwでなければ追加してくれません。CNがwww.sub.example.netであっても追加されないのです。
wwwありなしがSANsに登録されてなかったら何が問題か
独自ドメインの方はwwwありかなしか統一してますよね?wwwありなしどちらかに301の転送をしてると思います。
このブログではwww.vainlife.netにアクセスするとvainlife.netに転送します。
SANsにwwwなしのFQDNが登録された状態でwwwありのアクセスされたら『保護されてない通信』と表示され転送されません。
このブログで例えるとvainlife.netしかSANsになかったらwww.vainlife.netでアクセスしても『保護されてない通信』と表示されvainlife.netに転送されないということです。
(今時FQDN打ち込んでアクセスしてくる人なんてい・・・)
ではSANsにwwwも追加しようとして申請時のCNをwww.vainlife.netにしたとします。
格安SSL証明書はドメイン認証タイプが大半なのでメール認証かファイル認証になります。
ファイル認証の場合、認証のためCNのFQDNにアクセスされますがwww.vainlife.netはvainlife.netへ転送されるのでファイル認証が通らないことになります。
SSL証明書の申請の度に転送を無効にしなければなりません。
このブログがそうなってて申請のときにwww.vainlife.netからの転送は一時的にきってました。
さくらのSSLのJPRSドメイン認証型であればwwwありなし両方をSANsに登録してくれますのでCNをvainlife.netとして申請し、ファイル認証が通ればSANsはwww.vainlife.netとvainlife.netが登録されることになります。
現在は他社のSSL証明書ですが今後はさくらのSSLに乗り換えます。
こちらも併せてご覧ください
結論
格安のSSL証明書ならさくらのSSLのJPRSドメイン認証型がお勧め。
なぜならどのようなドメイン名であってもwwwありなしをSANsに登録してくれるから。
