適切な SSL 証明書を選定することは、Web サイトのセキュリティ確保、訪問者からの信頼構築、コンプライアンス要件の満たしに不可欠です。誤った選択は、サービス中断、セキュリティ脆弱性、不要なコスト増加を引き起こす可能性があります。本記事では、シナリオ主導型のクイックマッチガイドと、構造化されたパラメーターに基づく意思決定プロセスを提供し、必要な検証レベル、ドメインタイプ、暗号化アルゴリズム、ブランドを特定し、セキュリティ、互換性、コスト効率のバランスが取れた最適なソリューションを選択できるように支援します。
クイック選定
シナリオ 1:個人利用、開発、またはテスト用途
適用範囲:個人ブログ、ポートフォリオ Web サイト、ローカル開発環境、CI/CD テストパイプライン、教育デモなど、非商用かつ非本番用途に最適です。
主要なニーズ:低コスト、迅速なデプロイメント、高可用性の不要。
推奨される証明書タイプ:DV シングルドメイン証明書またはワイルドカード証明書。
推奨ブランド: Alibaba Cloud。
シナリオ 2:中小企業、E コマース、ミニプログラム
適用範囲:企業 Web サイト、中小規模 E コマースプラットフォーム、WeChat ミニプログラムのバックエンドサービス、SaaS アプリケーションゲートウェイなど、外部向け本番システム。
主要なニーズ:安定した HTTPS 暗号化、中程度の信頼性、高いコスト効率。
推奨される証明書タイプ:DV ワイルドカード証明書または OV シングルドメイン証明書。
検証レベル:DV または OV。
ドメインサポート:ワイルドカード (
*.aliyundoc.com) またはシングルドメイン。推奨ブランド: Rapid、GeoTrust、DigiCert。
重要事項:
複数のサブドメインを保護する場合は、ワイルドカード証明書を推奨します。
証明書内に自社情報を表示してユーザーの信頼を高めたい場合は、OV 証明書を選択してください。
シナリオ 3:金融、政府機関、または高信頼性サービス
適用範囲:オンラインバンキング、証券取引システム、政府サービスプラットフォーム、大企業向け顧客ポータル、決済ゲートウェイなど、極めて高いセキュリティおよびコンプライアンス要件を持つミッションクリティカルシステム。
主要なニーズ:最高レベルの本人確認保証、業界コンプライアンス、ブランド信頼性。
推奨される証明書タイプ:EV 証明書または OV 証明書。
検証レベル:EV / OV。
ドメインサポート:ビジネスアーキテクチャに応じて、シングルドメインまたはマルチドメイン。業界標準の制限により、EV 証明書はワイルドカードドメインをサポートしません。ワイルドカード証明書が必要な場合は、OV 証明書を選択してください。
推奨ブランド: GeoTrust、GlobalSign、DigiCert。
重要事項:
Chrome、Edge、Safari などの主要な最新ブラウザでは、アドレスバーに直接企業名を表示する(「緑色のバー」)機能は廃止されています。企業情報は証明書詳細パネルに表示されます。
EV 証明書は依然として最高水準の本人確認を提供し、法的有効性を完全に備えています。フィッシング攻撃を防止し、ユーザーの信頼を構築するために、金融および政府システムでの採用が推奨されます。
シナリオ 4: パブリック IP アドレスによるアクセス
適用範囲:IoT ゲートウェイ、エッジサーバー、レガシーシステムなど、パブリック IPv4 アドレス経由でトラフィックを処理し、ドメイン名を設定できないデバイスまたはシステム。
推奨される証明書タイプ:OV シングルドメイン証明書(IP 対応)。
検証レベル:OV。
ドメインサポート:パブリック IPv4 アドレス(特定ブランドのみ)。
推奨ブランド: GlobalSign、DigiCert、GeoTrust。
重要事項: GlobalSign、DigiCert、GeoTrust の OV シングルドメイン証明書のみが IP アドレスへのバインドをサポートしています。
選定パラメーター
選定フロー
以下のガイドを使用して、ビジネスニーズに合った証明書を選定してください。
ステップ 1:検証レベル
基本的な HTTPS 暗号化のみが必要で、企業情報を表示する必要がない 場合 → DV を選択します。
証明書内に組織の ID を表示し、ユーザーの信頼を構築したい 場合 → OV を選択します。
金融、政府、決済など、高コンプライアンスが求められる分野 で運用している場合 → EV を選択します。
ステップ 2:ドメインタイプ
単一ドメインのみ(例:
www.example.com)を保護する場合 → シングルドメイン証明書 を選択します。同一ルートドメイン配下のすべてのサブドメイン(例:
*.example.com)を保護する場合 → ワイルドカード証明書 を選択します。複数の異なるドメイン(例:
a.com+b.com)を保護する場合 → マルチドメイン証明書 を選択します。ワイルドカードおよびシングルドメインの両方 を保護する場合 → ハイブリッドドメイン証明書 を選択します。
パブリック IP アドレス(ドメインなし)を直接保護する場合 → IP アドレスをサポートする証明書を選択します(一部の OV 証明書のみがこの機能をサポートしています)。
ステップ 3:暗号化アルゴリズム
最も広範な互換性(旧式デバイスおよびブラウザとの互換性)が必要な場合 → RSA アルゴリズム を選択します。
より高いパフォーマンスおよび強固なセキュリティ(モバイル、IoT などに最適)が必要な場合 → ECC アルゴリズム を選択します。
ステップ 4:証明書ブランド
検証レベル(DV / OV / EV)
SSL 証明書は、検証レベル に基づいて DV(ドメイン検証)、OV(組織検証)、EV(拡張検証) に分類されます。これらの検証レベルは、必要な検証資料、平均発行時間、ブラウザの信頼表示において異なります。
企業情報を持たない個人 Web サイトの場合、 DV SSL 証明書のみ申請できます。
機能 | DV(ドメイン検証) | OV(組織検証) | EV(拡張検証) |
適用範囲 | 個人 Web サイト、アプリサービス、開発またはテスト環境。 | 政府機関、中小企業(SME)、教育機関。 | E コマースサイト、金融機関、トランザクションまたは機密個人データを扱う大企業。 |
検証レベル | 低。認証局(CA)はドメイン所有権のみを検証します。 | 中。CA は組織の実世界における ID を検証します。 | 高。CA は組織の ID および法的地位を厳格に検証します。 |
検証方法および必要書類 | DNS 検証。 | メールまたは電話。ドメイン検証および企業情報の提出が必要です、その他書類。 | メールまたは電話。ドメイン検証および企業情報の提出が必要です、その他書類。 |
セキュリティレベル | 基本。通信中のデータを暗号化します。CA は申請者がドメインを管理していることのみを検証するため、Web サイト背後の組織の ID は確認されません。 | 強化。通信中のデータを暗号化し、証明書詳細に組織の検証済み ID を表示します。CA は組織の法的存在および物理的住所を検証します。 | 最高。最高レベルの ID 保証を提供します。CA は、組織の法的、物理的、運用上の存在を含む最も厳格な審査を実施します。証明書には、ブラウザの証明書詳細に表示される検証済み組織名が含まれます。 |
ブラウザ表示 | アドレスバーに鍵アイコンおよび HTTPS 表示を表示します。組織 ID は表示されません。 | アドレスバーに鍵アイコンおよび HTTPS 表示を表示します。ユーザーが証明書を確認すると、証明書詳細パネルに検証済み組織名が表示されます。 | アドレスバーに鍵アイコンおよび HTTPS 表示を表示します。最新ブラウザでは緑色のアドレスバーは表示されませんが、証明書詳細パネルに検証済み組織 ID が明確に表示され、利用可能な最も強力な視覚的信頼信号を提供します。 |
価格レベル | 最低 | 中(DV < OV) | 最高(OV < EV) |
平均発行時間 | 1~15 分。 | 5 暦日 | 5 暦日 |
検証レベルの選定方法
以下のガイドラインを使用して、シナリオに適した検証レベルを選定してください。
DV 証明書:個人 Web サイト、モバイルアプリ、企業テスト環境に最適です。ID 検証なしで基本的な HTTPS 暗号化のみが必要な場合に選択してください。最もコスト効率が高く、発行時間が最短です。
OV 証明書:政府機関、中小企業(SME)、教育機関で、訪問者に検証済み組織 ID を表示する必要がある場合に推奨されます。ユーザーが実在する検証済み組織が Web サイトを運営していることを知る必要がある場合に選択してください。
EV 証明書:大企業、金融機関、トランザクションまたは高度に機密なデータを扱う Web サイトでの採用が推奨されます。ビジネスで最高レベルの ID 信頼および法的保証が必要な場合に選択してください。EV 証明書は最も厳格な検証プロセスを経ます。
価格階層:DV 証明書が最も安価で、次に OV、EV 証明書が最も高価です(DV < OV < EV)。詳細な料金については、「料金情報」をご参照ください。
ドメインタイプ
SSL 証明書は、ドメイン名または IP アドレスにバインドされて初めて有効になります。保護する必要のあるドメインの数およびタイプによって、必要な証明書タイプおよび数量が決まります。Alibaba Cloud は、シングルドメイン、マルチドメイン、ワイルドカードドメイン、ハイブリッドドメイン の各ドメインタイプに対応する証明書をサポートしています。以下の表では、これらのドメインタイプを比較し、対応する証明書について説明します。
ドメインタイプ | 説明 | 注記 |
シングルドメイン | 1 つの証明書を、 | DV、OV、EV 検証レベルをサポートしています。 |
マルチドメイン | 1 つの証明書を複数のドメインまたは IP アドレスにバインドします。デフォルトでは、最大 5 つのドメインを追加できます。 | IP アドレスを保護するには、IP アドレスをサポートするブランドの OV 証明書を使用する必要があります。 |
ワイルドカードドメイン |
たとえば、ワイルドカードドメイン |
|
ハイブリッドドメイン | 1 つの証明書に、 説明 購入または申請プロセス中に、同一ブランドおよびタイプの複数の証明書をマージしてハイブリッドドメイン証明書を作成できます。手順については、「公式 SSL 証明書の購入」または「証明書統合リクエスト」をご参照ください。 |
|
IP アドレス | 1 つの証明書を 1 つのパブリック IPv4 アドレスにバインドします。 | IP アドレスへのバインドをサポートするのは、GlobalSign、DigiCert、GeoTrust の OV シングルドメイン証明書のみです。 |
証明書の購入および発行後、特定の条件を満たす場合、追加ドメインが無料で含まれることがあります。詳細については、「SSL 証明書に含まれる無料ドメインのルール」をご参照ください。
暗号化アルゴリズム(RSA / ECC)
RSA:優れた互換性と広範な採用で知られる非対称暗号アルゴリズムです。
ECC(楕円曲線暗号):RSA と比較して、より強固なセキュリティ、高速なパフォーマンス、低いリソース消費を実現する最新の非対称暗号アルゴリズムであり、主要ブラウザで広くサポートされています。
項目 | RSA アルゴリズム | ECC アルゴリズム |
セキュリティおよびキー長 | より長いキー長を必要とします。サポートされるキー長は 2048 ビットおよび 4096 ビットです。 | はるかに短いキー長で同等のセキュリティレベルを実現します。
|
パフォーマンス / 速度 | 遅い。 | 高速。特にモバイルおよびモノのインターネット(IoT)デバイスなどのリソース制約環境で顕著です。 |
メモリおよび CPU 使用量 | 高い。 | 低い。 |
互換性 | 高い。 | 良好ですが、RSA ほど広く普及していません。 |
以下の表は、各 SSL 証明書ブランドおよびタイプでサポートされる暗号化アルゴリズムを示しています。
証明書ブランド | 証明書タイプ | RSA | ECC | ||||||
署名アルゴリズム | キー長 | 署名アルゴリズム | キー長 | ||||||
SHA256withRSA | SHA384withRSA | 2048 | 4096 | SHA256withECDSA | SHA384withECDSA | prime256v1 | secp384r1 | ||
DigiCert | DV | ||||||||
OV | |||||||||
EV | |||||||||
GeoTrust | OV | ||||||||
EV | |||||||||
GlobalSign | DV | ||||||||
OV | |||||||||
Rapid | DV | ||||||||
Alibaba Cloud | DV | ||||||||
デフォルトでは、SSL 証明書は SHA256withRSA または SHA256withECDSA 署名アルゴリズムで署名されます。Certificate Management Service コンソールでは、SHA384 ハッシュ関数を使用する署名アルゴリズムを選択できません。この署名アルゴリズムで証明書を発行するには、ローカルで CSR ファイルを作成し、コンソールにアップロードする必要があります。詳細については、「CSR ファイルの作成方法」および「CSR のアップロード」をご参照ください。
証明書ブランド
証明書ブランドを選択する際は、サポートされる検証レベル、ドメインタイプ、暗号化アルゴリズム、価格、およびビジネス要件と予算を考慮してください。
証明書ブランドの選定でお困りの場合は、「製品詳細ページ」をご覧になり、「証明書管理サービス製品のお問い合わせ」フォームに記入して販売前サポートを受けてください。
証明書ブランド | 認証局 | 説明 |
DigiCert | DigiCert, Inc. | DigiCert(旧 Symantec)は、世界をリードする認証局であり、信頼性の高い SSL 証明書ブランドです。すべての証明書は業界をリードする暗号化技術を使用し、幅広い Web サイトおよびサーバーを保護します。 |
Rapid | Rapid は DigiCert のエントリーレベル SSL 証明書ブランドです。個人 Web サイトおよび中小企業の基本的な暗号化ニーズに最適な、迅速発行かつコスト効率の高いドメイン検証(DV)証明書の提供に特化しています。 | |
GlobalSign | GMO GlobalSign Pte Ltd. | GlobalSign は、最も古くから存在する認証局(CA)の 1 社です。サイバーセキュリティ認証およびデジタル証明書サービスを専門としており、信頼性の高い SSL 証明書プロバイダーです。 |
Alibaba Cloud | DigiCert, Inc. | Alibaba Cloud ブランドの証明書は DigiCert が発行し、コスト効率の高いドメイン検証(DV)証明書を提供します。 |
料金
SSL 証明書の価格は、証明書タイプ、検証レベル、ドメインタイプ、ブランドによって異なります。ご自身の要件および予算に合った証明書を選択してください。
以下の価格は参考価格です。最終的な価格は「証明書サービス購入ページ」に表示されます。
証明書ブランド | 検証レベル | ドメインタイプ | 価格(USD/年) | 注記 |
Alibaba Cloud | DV | シングルドメイン | 75 | / |
ワイルドカードドメイン | 300 | / | ||
GeoTrust | OV | シングルドメイン | 324 | / |
ワイルドカードドメイン | 1020 | / | ||
Rapid | DV | シングルドメイン | 66 | / |
ワイルドカードドメイン | 263 | / | ||
DigiCert | DV | シングルドメイン | 149 | / |
ワイルドカードドメイン | 629 | / | ||
OV | シングルドメイン |
| / | |
ワイルドカードドメイン |
| / | ||
EV | シングルドメイン |
| / | |
GlobalSign | DV | シングルドメイン | 249 | / |
ワイルドカードドメイン | 849 | / | ||
OV | シングルドメイン | 349 | / | |
ワイルドカードドメイン | 949 | / | ||
マルチドメイン | 749 | デフォルトで 5 つのシングルドメインが含まれます。 |
証明書の購入
証明書を購入するには、「公式証明書の購入」をご参照ください。
よくある質問
IP アドレス用の証明書
IP アドレスをサポートする OV シングルドメイン証明書を選択してください。購入時に、GlobalSign、DigiCert、GeoTrust のいずれかのブランドから OV 証明書を選択します。申請時に、ご利用のパブリック IP アドレスを入力してください。
更新または再発行後の再デプロイ
はい。更新または再発行のたびに新しい証明書が生成されます。新しい証明書をダウンロードし、ご利用の Web サーバーにデプロイして、古い証明書を置き換える必要があります。
複数年契約で証明書を更新し、前の証明書にクラウドプロダクトデプロイメントを使用していた場合、Certificate Management Service (Original SSL Certificate) は、発行後にクラウドプロダクト管理デプロイメントを使用して新しい証明書を自動的にデプロイします。デプロイに失敗した場合は、メール、サイト内メッセージで通知を受け取ります。
ワイルドカード証明書(例: *.aliyundoc.com)には、ルートドメイン(aliyundoc.com)も含まれますか?
はい。ワイルドカードドメイン用の証明書には、ルートドメインも無料で含まれます。たとえば、*.aliyundoc.com 用の証明書は、aliyundoc.com も保護します。
証明書の購入および発行後、特定の条件を満たす場合、追加ドメインが無料で含まれることがあります。詳細については、「SSL 証明書に含まれる無料ドメインのルール」をご参照ください。