system
大貫 晃一

2015.9.7システム開発 

システムエンジニア

大貫 晃一

「マルチドメインSSL証明書」と「SNI SSL」の違い

システムエンジニアの大貫です。

今回は「マルチドメインSSL証明書」と「SNI SSL」の違いについて触れたいと思います。

弊社がよく利用する「さくらインターネット」のレンタルサーバでも、2015年2月より
SNI SSL」というサービスが始まり、共用サーバでも独自ドメインのSSLが使えるように
なりました。

通常、SSL証明書は、1つのIPに対して、1つの証明書しか設定することが出来ません。

そこで登場したのが、「マルチドメインSSL証明書」です。

SSL証明書購入時に、複数のホスト名を申請し、購入することで、
SSL証明書の「Subject Alternative Names(SAN)」の部分

…つまりは「サブジェクトの別名」の部分に
申請された複数のホスト名が登録されます。
これをサーバに設置すると、1つのSSL証明書で申請した複数のホスト名を証明することが出来ます。

ただし、サーバで運用するホスト名が追加、変更、削除される度に、証明書を作りなおさなくてはならないため、レンタルサーバなど不特定多数の複数のドメインを運用している場合は、実運用は現実的ではありませんでした。

そこで、2003年6月、RFC 3546「TLS拡張仕様」で追加された

「Server Name Indication(SNI)」…つまりは「サーバ名表示」の
機能を利用して、ホスト名毎に別々のSSL証明書を設置することが出来るようになりました。

これが、さくらインターネットでも使用できるようになった「SNI SSL」です。

これによって、共用サーバでも独自ドメインのSSLが導入できるようになりましたが、
古くからある技術ではありませんので、ブラウザやOSの制約を受けて、アクセス出来ない
ブラウザ(OS)も存在します。

不特定多数のユーザがアクセスできるのがWebですので、サポートが終了したOSの「WindowsXP」や
「ガラケー」などでアクセスしてくるユーザについて、排除しても問題ないか、というデメリットは
ありますが、安いレンタルサーバでSSLが導入できるというメリットもありますので、
お客様とご相談しながら、ご提案していきたいと思います。

【SNIに対応したOS/ブラウザ】
    Internet Explorer7 (Windows Vista)以降 ※WindowsXpは非対応
    Mozilla Firefox 2.0 以降
    Google Chrome 6 以降
    Safari 3.0 以降
    iOS 4以降の MobileSafari
    Android Honeycomb 3以降
    Windows Phone 7以降

システム開発サービスはこちら
ページTOPへ