今時のSSL証明書には申請したコモンネームCNとは別にSANs(Subject Alternative Names)にwww有り無し両方が登録されます。もちろん登録されない場合もあります。
認証局によって対応がまちまちなのはしょうがないとしてもSANsへの自動登録をうたっているのにも関わらず登録されなかったドメインがありましたのでその状況をお話しします。
SANsとは
CNとは別にSANsに登録されたFQDNのアクセスに対してもSSL暗号化通信が可能になる機能です。
ChromeでSSL証明書を表示すると拡張機能にサブジェクト代替名とあるのがそれです。
DNS Name=www.vainlife.net
DNS Name=vainlife.net
となっているので『www.vainlife.net』と『vainlife.net』のどちらにアクセスしても普通に暗号化通信ができます。
yahooのSSL証明書を確認してみてください。たくさん登録されています。OV(企業認証)+ワイルドカード+マルチドメインという珍しい証明書らしいです。
参考⇒1枚で複数サイトを常時SSL化!ワイルドカード証明書やマルチドメイン証明書とは?
www有り無しのSANsが登録されていないと何が問題なのか
独自ドメインでサイトを立ち上げたとき、www有り無しをどちらかに統一してると思います。
このサイトは無しに統一してるので『www.vainlife.net』にアクセスすると『vainlife.net』にリダイレクトされます。
さてここでCNがvainlife.net、SANsはwww.vainlife.netがない状態で『www.vainlife.net』にアクセスした場合どうなるでしょうか?
URLのFQDNとCNもしくはSANsが一致しないためChromeでは『保護されていない通信』になり、アクセスできずリダイレクトも起こりません。
2LDのSSL証明書を取得したらwww無しがSANsに登録されてないじゃない
冒頭の本題に入ります。取得するとホスト名+2LDになるドメイン名でSSL証明書を申請取得したときの話です。
wwwがサブドメインならSANsにwww無しも自動追加するよーとうたってる、とある発行会社に『CN=www.example.tokyo.jp』(これは一例ですよ)でSSL証明書を申請取得したらSANsが『www.example.tokyo.jp』のみでした。
『example.tokyo.jp』がSANsに追加されてない理由を聞いたら≪『www.example』がサブドメインになるから自動追加はしません!≫と回答が来て苦笑しました。
『tokyo.jp』が都道府県型JPドメイン名であることを知らず、汎用JPドメイン名でサブドメインを申請してきたと思ったようです。
『tokyo.jp』は都道府県型JPドメイン名ですよーと伝えたら理解できたみたいで≪『example.tokyo.jp』も追加するから証明書を再発行して設定しなおしてほしい≫と回答がきました。
最初の対応が期待した回答(こちらのミスなのでSANs登録するよ)ではなく会社に不安を覚えましたのでこちらの発行会社からSSL証明書を取得するのは断念し放置しています。
どんなサブドメインであってもSANsに追加してくれるSSL証明書
案件でLet’s Encryptの使用はちょっと……と遠慮したい場合は格安のSSL証明書を取得していましたが、今回上記のような問題にあたりSSL証明書の発行会社を見直すことにしました。
どんなサブドメインであってもSANsに追加してくれるSSL証明書ならさくらのSSLがありました。
www有り無し関係なく申請したCNがwww有りならSANsに無しを、www無しならSANsに有りを自動追加してくれます。
ドメイン認証型で価格もお安く(年額972円)発行スピードも即日で、実際に取得してみたところ1時間程度で済みました。
認証レベルがドメイン認証型でよければ安くて速いさくらのSSLがお勧めです。