SSLサーバ証明書の期限切れに伴い,更新先を探していたのだが,思いの外,簡単ではなかったので,備忘録として世に公開してみる.いろいろなサイトでSSL証明書を比較していますが,多くはスペックで比べておりますが,こっちは手続き上の問題ベースで比較します.単なる比較はいらない.実体験に基づくレポートが重要.
前提:
- SSL通信を行いたい
- 保証はいらない(暗号化通信がしたいだけ)
- KY(価格安く)
・FlySSL
安いけど,発行手続きが進まないので,使えません.わけわかめ.
・RapidSSL
安いSSLサーバ証明書の代名詞的存在です.リセラが多数存在しているので,日本語でもバリバリ買えちゃいます.証明書はジオトラストから発行され,シングルルート証明書なので,大変に使い勝手がいいです.再発行オプションや保証もあるので,まぁまぁ,いいんじゃないでしょうか.証明書発行時のドメイン所有確認はメールで行われます.すなわち,「指定のアカウント名@CSRドメイン名」宛に確認メールが飛んできて,それを承認するという形です.ほかのSSLサーバ証明書で,「発行最短××分」と謳っているところは,まず間違いなく,この認証方式です.
って,真面目に説明していますが,ここも発行されませんでした.理由は確認メールが受け取れないからです.「指定のアカウント名@CSRドメイン名」なのですが,このCSRドメイン名がやっかりで,説明と全然違うじゃないかよ!って突っ込みを入れたくなります.例を挙げましょう.コモンネームが"www.hogehoge.example.com"だった場合,CSRドメイン名はホスト名を除いた部分になるので,"hogehoge.example.com"になります.だから,確認メールは概ね"[email protected]"あたりになるわけです.これはよく分かります.ただし,CSRドメインが5レベル以内じゃないとダメなんだそうです.つまりは,"[email protected]"まではokらしいのだ.そんな説明はどこにも書いていないわけだが・・・.発行を受けるドメインはこれで言うと6レベルに相当するので,確認メールとして指定できないわけです.代替手段として,Whoisに登録されている情報が使えるとか言われるんだけど,そんなのオレの管轄外なわけで,受信できるわけなかろうにってわけですよ.というわけで,RapidSSLはダメでした.
・QuickSSL
RaipdSSLがダメなだけで,QuickSSLならいけるだろうと思いましたが,やっぱりダメでした.ジオトラスト発行で,ドメイン所有をメールで確認するタイプは全部ダメそうなことが分かりました.残念.
・Thawte
ベリサイン傘下でMD5な証明書を発行していたので,先の問題が直撃したところです.ベリサインなのに,妙に安いので試してみるかと思ったんですが,結論からいえば,ここもダメでした.CSRドメインを指定できなくて,3レベルのWhoisに登録されているメールアドレスしか,ドメイン所有確認のメールアドレスに使えませんでした.手続きの仕方がまずかったのかもしれませんが,深く追求する気もなかったので,そこで諦めました.残念.
・AlphaSSL
トリトン発行のAlphaSSLです.これは6レベルでも余裕です.CSRドメインでメールアドレスを指定できます.こうして,AlphaSSLを買うことで,今回のSSLサーバ証明書購入は終了したのでした.
まとめ:
格安のSSLサーバ証明書はドメイン所有確認をメールで行うため,そのメールを受信しなくてはならないが,そのメールアドレスには自由度の制限があることが判明した.特に,ジオトラストでは5レベル以内という内規を用意しているらしく,6レベル以上のドメインでSSLを使う場合には注意が必要である.
なお,ベリサインやジオトラストでもTrue BusinessIDあたりの実在証明付きのSSLサーバ証明書の場合,ドメイン所有確認はメール如きでは行われないので,恐らく問題ないかと思います.が,高いということだけは述べられます.
こうして,また通信路は暗号化されるのでした.
関連:
用途別SSLサーバ証明書を勝手にまとめ - 4403 is written
SSL証明書の件いろいろ - 4403 is written
MD5なSSL証明書のおはなし - 4403 is written
