パブリックトラストと証明書

マルチドメイン(SAN)
証明書とは何ですか?

マルチドメイン(SAN)証明書とは何ですか?

新しい TLS/SSL 証明書を注文または発行する際、SAN (Subject Alternative Name)フィールドを使用できます。これを使用すると、マルチドメイン(SAN)証明書や EV (拡張認証)マルチドメイン証明書など、1 つの TLS/SSL 証明書で保護する追加のホスト名を指定できます。

SAN (Subject Alternative Name)拡張は 1999 年以前の X509 証明書規格に含まれていましたが、Microsoft Exchange Server 2007 が発売されるまで一般的には使用されていませんでした。この変更によってサーバーの構成が簡素化され、便利になりました。現在では、SAN (Subject Alternative Name)は異なるドメインやサブドメインで複数の Web サイト名を保護する必要がある環境やプラットフォームで広く利用されています。

SAN (Subject Alternative Name)は何のために使用するのですか?

SAN (Subject Alternative Name)には主に 3 つの使用方法があります。

  1. 1 つの TLS/SSL 証明書によって異なるベースドメイン上のホスト名を保護:ワイルドカード証明書は、たとえば *.example.com のように、ドメイン全体のすべてのファーストレベルのサブドメインを保護できます。ただし、ワイルドカード証明書では www.example.com と www.example.net の両方を保護することはできません。
  2. 複数の TLS/SSL サイトを 1 つの IP アドレスに仮想的にホスト:複数の TLS/SSL 対応サイトを 1 つのサーバー上にホストする場合、通常、サイトごとに一意の IP アドレスが必要になりますが、SAN (Subject Alternative Name)を持つマルチドメイン(SAN)証明書を使えばこの問題を解決できます。Microsoft IIS と Apache のいずれも、マルチドメイン(SAN)証明書を使用して HTTPS サイトを仮想ホストできます。
  3. サーバーの TLS/SSL 構成を大幅に簡略化:マルチドメイン(SAN)証明書を利用すると、サーバーに複数の IP アドレスを設定し、各 IP アドレスを各証明書にバインドし、それをすべて組み合わせるための手間と時間を軽減できます。

SAN (Subject Alternative Name)の使用例はどこで見られますか?

SAN (Subject Alternative Name)の使用例を見るには、ブラウザのこのページのアドレスバーに表示されている南京錠をクリックし、TLS/SSL 証明書を確認してください。証明書の詳細の SAN (Subject Alternative Name)拡張に www.digicert.com と digicert.com の両方と、当社の証明書によって保護されているその他の SAN の一覧が記載されています。digicert.com が証明書に記載されているため、名前に www を含まない https://digicert.com にアクセスした場合でもブラウザが警告を発しないようになっています。

ブラウザは TLS/SSL 証明書に含まれる SAN (Subject Alternative Name)フィールドをどのように使用するのですか?

ブラウザは、HTTPS でサーバーに接続するときに TLS/SSL 証明書がアドレスバーのホスト名と一致するかどうかを確認します。

ブラウザとの一致を確認する方法は 3 つあります。

  1. アドレスバーのホスト名が、証明書のサブジェクトにあるコモンネームと完全に一致する。
  2. ホスト名がワイルドカードコモンネームに一致する。たとえば、www.example.com がコモンネーム *.example.com に一致するなど。
  3. ホスト名が SAN (Subject Alternative Name)の一覧に記載されている。

TLS/SSL の名前照合として最も一般的なのは、TLS/SSL クライアントが接続先のサーバー名とサーバーの証明書にあるコモンネームを比較する方法です。すべての TLS クライアントが厳密なコモンネーム照合をサポートするのが間違いない方法です。

TLS 証明書に SAN (Subject Alternative Name)フィールドがある場合、TLS クライアントはコモンネームの値を無視して、SAN リストから一致する値を探します。デジサートの証明書の最初の SAN 値としてコモンネームが再度記載されているのはこのためです。

どの TLS/SSL クライアントが SAN (Subject Alternative Name)をサポートしていますか?

ほとんどのモバイルデバイスが SAN (Subject Alternative Name)証明書、ワイルドカード証明書をサポートしています。また、そのすべてが厳密なコモンネーム照合をサポートしています。

Internet Explorer、Firefox、Opera、Safari、Netscape:これらすべてが 2003 年以降 SAN (Subject Alternative Name)をサポートしています。実際のところ、Internet Explorer は Windows 98 以降サポートしています。

Micrsoft Edge:Microsoft の最新のブラウザは SAN (Subject Alternative Name)をサポートしています。

Windows Phone:SAN (Subject Alternative Name)とワイルドカード照合をサポートしています。

新しい Palm Treo:新しいデバイスは WM5 を使用していますが、古いデバイスは PalmOS を搭載しており、ActiveSync に VersaMail を使用しています。古い Treos は SAN (Subject Alternative Name) 照合をサポートしていません。

新しい Symbian OS 搭載スマートフォン:バージョン 9.2 以降 の Symbian OS は SAN (Subject Alternative Name)照合をサポートしています。

古い Symbian OS 搭載スマートフォン:バージョン 9.1 以前の Symbian OS は SAN (Subject Alternative Name)照合をサポートしていません。これは Symbian OS 9.2 (S60 3rd Edition、Feature Pack 1)で解決されたようです。

古い Palm Treo:これらのデバイスは PalmOS を搭載しており、ActiveSync に VersaMail を使用しています。これらの古い Treos は SAN (Subject Alternative Name)照合をサポートしていません。

すべてのモバイルデバイスが SAN (Subject Alternative Name)をサポートしているわけではないため、コモンネームを大半のモバイルデバイスが使用する名前に設定するのが安全です。