![ワイルドカード SSL は 1 枚で全サブドメインに効く](/blog/wildcard-ssl-when-needed/coverage.svg) ## この記事でわかること - ワイルドカード SSL 証明書が「何をカバーするか」「何をカバーしないか」 - 通常の SSL 証明書との使い分け - 本当に必要なケースと、過剰投資になるケース - 導入時の運用上の注意点 ## ワイルドカード SSL 証明書とは 通常の SSL 証明書は「shop.example.com」のように、特定の 1 つのホスト名に対して発行されます。これに対しワイルドカード SSL は、コモンネームにアスタリスク(記号)を使ったホスト指定を含み、example.com の任意のサブドメイン 1 階層を 1 枚の証明書でまとめて保護できます。 具体的には次のような対応関係です。 - `\*.example.com` でカバーされる: www / shop / blog / api / mail.example.com など - カバーされない: example.com 本体(apex 自体は別。多くの認証局は SAN として併記される運用) - カバーされない: shop.jp.example.com などの 2 階層下のサブドメイン 「ワイルドカード」と聞くと無限に効きそうですが、効くのは指定した階層の 1 階層下のみという点が重要です。 SSL 証明書の基本的な種類分けは[SSL 証明書の種類と違い](/blog/ssl-certificate-types-dv-ov-ev)を参照。 ## 通常 SSL との使い分け ![通常 SSL とワイルドカードの比較](/blog/wildcard-ssl-when-needed/comparison.svg) ### 通常 SSL(ホスト名ごと) ホスト名ごとに証明書を取得・更新します。サブドメインが 2〜3 個程度なら管理コストは小さく、無料の Let's Encrypt 自動発行とも相性がよい構成です。 サブドメインが増えるたびに証明書発行が必要なため、頻繁にサブドメインを追加するサービスでは運用が煩雑になります。 ### ワイルドカード SSL 「*.example.com」を 1 枚取れば、その配下のサブドメインがいくつ増えても自動で保護されます。ただし、無料の Let's Encrypt でワイルドカードを取得するには DNS-01 認証(DNS の TXT レコードを書き換える方式)が必須で、レンタルサーバーによっては対応していません。実際の取得手順は[Let's Encrypt でワイルドカード証明書を取得する手順](/blog/wildcard-ssl-letsencrypt-howto)にまとめています。 商用のワイルドカード SSL は年額数万円〜十数万円が相場で、サブドメイン数が多い場合に費用対効果が出ます。 ### マルチドメイン SSL(SAN 証明書) 別物として「異なる複数ドメインを 1 枚に収める SAN 証明書」もあります。example.com と example.co.jp を 1 枚にまとめる用途です。ワイルドカードとは目的が違うので混同しないよう注意。 ## 本当に必要なケース 次のいずれかに当てはまるなら、ワイルドカード SSL は妥当な投資です。 - **動的にサブドメインを発行する SaaS サービス**: 顧客ごとに `customer-name.example.com` のような URL を払い出す。証明書を都度発行する自動化を組むより、ワイルドカード 1 枚で済む方が運用が楽 - **サブドメインが 10 個以上あり、新規追加も多い**: 商用キャンペーンサイト・採用ページ・サポートサイト・社内システムなど - **同じ証明書を複数サーバーで共有する大規模運用**: Web / API / 配信用と複数のホスト名を共通鍵管理で運用 - **DNS-01 認証で自動更新の仕組みを構築済み**: cert-manager 等で Let's Encrypt のワイルドカードを自動取得・更新できる体制 ## 過剰投資になるケース 逆に、次のような場合はワイルドカード SSL は過剰投資です。 - サブドメインが www / blog / mail の 3 つ程度で固定 - レンタルサーバー側で個別の自動 SSL(Let's Encrypt)が組み込まれている - そもそも複数サブドメインを使い分けていない 「将来サブドメインを増やすかも」程度の理由なら、増えたタイミングで個別に取得した方が結果的に安く済みます。 ## 導入時の運用注意点 ワイルドカード SSL を入れた後で気をつけるべき点があります。 ### 注意 1: 鍵漏洩のインパクトが大きい 1 枚の証明書(と秘密鍵)が、すべてのサブドメインの暗号通信を担います。秘密鍵が漏洩した場合の影響範囲は通常 SSL より広範です。鍵管理ルールを通常 SSL より厳しく運用する必要があります。 ### 注意 2: 失効時に全サブドメインが同時停止する 期限切れや誤った更新で証明書が無効になると、配下の全サブドメインで同時に HTTPS 警告が出ます。期限管理は通常 SSL 以上に重要です。 期限管理の基本は[SSL 証明書 有効期限の確認方法](/blog/ssl-expiration-check)に整理しています。 ### 注意 3: 階層をまたぐサブドメインは別証明書 冒頭にも書いた通り、`*.example.com` は `shop.jp.example.com` をカバーしません。多階層構成にする場合は、追加で `*.jp.example.com` を別途取得するか、構成を見直すかの判断が必要です。 サブドメインの設計判断は[サブドメインとは|使い分けとメール](/blog/subdomain-basics-mail)も参考になります。 ## まとめ - ワイルドカード SSL は `*.example.com` の 1 階層下を 1 枚でカバー - 動的サブドメインを払い出す SaaS や、10 個以上のサブドメインがある運用に妥当 - サブドメインが少数で固定なら通常 SSL で十分 - 鍵漏洩・失効のインパクトが広いため、鍵管理と期限監視は通常以上に厳しく ## まずは現状を把握しましょう 自社の SSL 証明書の有効期限と設定状況は、ドメイン番人の[SSL 単発チェック](/ssl/check)で確認できます。メール認証も含めた総合点検は[無料診断](/diagnose)をご利用ください。