このトピックでは、ビジネスシナリオに基づいた SSL 証明書の選定ガイドを提供します。検証レベル、ドメインタイプ、暗号化アルゴリズム、ブランドオプションについて解説し、セキュリティ、互換性、コスト効率の観点から最適な証明書を選択できるように支援します。 - Certificate Management Service

適切な SSL 証明書を選択することは、Web サイトのセキュリティ確保、訪問者からの信頼獲得、コンプライアンス要件の満たしに不可欠です。誤った選択は、サービス中断、セキュリティ脆弱性、不要なコストにつながる可能性があります。本ガイドでは、検証レベル、ドメインタイプ、暗号化アルゴリズム、ブランドの観点から、お客様のニーズに最適な証明書を迅速に特定できるよう支援します。シナリオ主導型のマッチングと構造化された意思決定プロセスにより、セキュリティ、互換性、コスト効率のバランスが取れた最適なソリューションを見つけることができます。

クイック選定

シナリオ 1：個人プロジェクト、開発・テスト、非営利 Web サイト

利用シーン：個人ブログ、ポートフォリオサイト、ローカル開発環境、CI/CD テストパイプライン、教育用デモなど。これらは非営利かつ非本番用途に限定されます。
主要なニーズ：低コストおよび迅速なデプロイ。高可用性は不要。
推奨される証明書タイプ：ドメイン検証（DV）シングルドメイン証明書またはワイルドカード証明書。
推奨ブランド：Alibaba Cloud。

シナリオ 2：中小企業公式サイト、EC サイト、ミニプログラム、その他の本番サービス

利用シーン：企業公式 Web サイト、中小規模 EC プラットフォーム、WeChat ミニプログラムのバックエンドサービス、SaaS アプリケーションのエントリーポイントなど。これらはすべて公開向けの本番システムです。
主要なニーズ：安定した HTTPS 暗号化、中程度の信頼表示、コスト効率。
推奨される証明書タイプ：DV ワイルドカード証明書または組織検証（OV）シングルドメイン証明書。
検証レベル：DV または OV。
ドメインサポート：ワイルドカード（*.aliyundoc.com）またはシングルドメイン。
推奨ブランド：Rapid、GeoTrust、DigiCert などの国際ブランドが推奨されます。。
重要な注意事項：
- 複数のサブドメインを保護する場合は、ワイルドカード証明書が推奨されます。
- 証明書内に企業情報を表示してユーザーの信頼を築きたい場合は、OV 証明書を選択してください。

シナリオ 3：金融、政府、大企業、高信頼性サービス

利用シーン：オンラインバンキング、証券取引システム、政府サービスプラットフォーム、大企業の顧客ポータル、決済ゲートウェイなど。これらは、厳格なセキュリティおよびコンプライアンス要件を持つミッションクリティカルなシステムです。
主要なニーズ：最高レベルの信頼保証、業界コンプライアンス、ブランド信頼性。
推奨される証明書タイプ：拡張検証（EV）または OV 証明書。
検証レベル：EV または OV。
ドメインサポート：アーキテクチャに応じてシングルドメインまたはマルチドメイン。業界標準の制限により、EV 証明書はワイルドカードドメインをサポートしません。ワイルドカード証明書が必要な場合は、OV 証明書を選択してください。
推奨ブランド：GeoTrust、GlobalSign、DigiCert などの国際ブランドが推奨されます。。
重要な注意事項：
- Chrome、Edge、Safari などの主要な最新ブラウザでは、アドレスバーに企業名（緑色のバー）を直接表示しなくなりました。企業情報は証明書詳細パネルに表示されます。
- EV 証明書は依然として最高レベルの本人確認基準を満たしており、法的有効性も完全に備わっています。フィッシング攻撃を防止しユーザーの信頼を築くため、金融および政府システムでの採用が引き続き推奨されています。

シナリオ 4：パブリック IP アドレスによるアクセス（ドメインなし）

利用シーン：パブリック IPv4 アドレス経由でトラフィックを直接処理し、ドメイン名が使用できないデバイスまたはシステム（IoT ゲートウェイ、エッジサーバー、レガシーシステムなど）。
推奨される証明書タイプ：IP アドレスをサポートする OV シングルドメイン証明書。
検証レベル：OV。
ドメインサポート：パブリック IPv4 アドレス。一部のブランドのみが対応しています。
推奨ブランド：GlobalSign、DigiCert、GeoTrust などの国際ブランドが推奨されます。。
重要な注意事項：IP アドレスへのバインドをサポートするのは、GlobalSign、DigiCert、GeoTrust の OV シングルドメイン証明書のみです。

選定パラメーターの詳細

選定フロー

実際のビジネスニーズに基づき、以下の手順に従って証明書の中核となるパラメーターを決定してください。

ステップ 1：検証レベルの選択
- 企業情報を表示せずに基本的な HTTPS 暗号化のみが必要な場合は、DV を選択してください。
- 企業のアイデンティティを表示してユーザーの信頼を築きたい場合は、OV を選択してください。
- 金融、政府、決済など、高度なコンプライアンスが求められる分野で運用している場合は、EV を選択してください。
ステップ 2：ドメインタイプの選択
- 1 つのドメインのみ（例：www.example.com）を保護する場合は、シングルドメイン証明書 を選択してください。
- 1 つのルートドメイン配下のすべてのサブドメイン（例：*.example.com）を保護する場合は、ワイルドカード証明書 を選択してください。
- 複数の異なるドメイン（例：a.com および b.com）を保護する場合は、マルチドメイン証明書 を選択してください。
- ワイルドカードドメインとシングルドメインの混合保護が必要な場合は、マルチドメイン証明書 を選択してください。
- ドメインなしでパブリック IP アドレス経由でサービスにアクセスする場合は、IP バインドをサポートする証明書を選択してください。一部の OV 証明書のみが対応しています。
ステップ 3：暗号化アルゴリズムの選択
- 古いデバイスやブラウザとの最も広範な互換性が必要な場合は、RSA アルゴリズム を選択してください。
- モバイルや IoT 向けにより優れたパフォーマンスと強固なセキュリティが必要な場合は、ECC アルゴリズム を選択してください。
ステップ 4：証明書ブランドの選択
予算およびご希望に応じて、「価格情報」の料金を確認し、「証明書ブランド」からブランドを選択してください。

検証レベル（DV / OV / EV）

SSL 証明書は、DV、OV、EV の 3 つの検証レベルに分類されます。これらのレベルは、必要な検証資料、発行時間、信頼表示方法が異なります。

説明

企業情報を持たない個人 Web サイトは、 DV（ドメインのみ）SSL 証明書のみ申請可能です。

比較項目	DV	OV	EV
利用シーン	個人 Web サイト、アプリサービス、企業テスト。	政府機関、中小企業、教育機関。	大企業、金融機関、トランザクションおよび個人データを扱う EC サイト。
検証レベル	低。認証局はドメイン所有権のみを検証します。	認証局は企業のアイデンティティを検証します。	高。認証局は組織および法的アイデンティティを厳格に審査します。
検証方法および必要書類	DNS 検証。	メールまたは電話。ドメイン情報、企業情報を提出。	メールまたは電話。ドメイン情報、企業情報を提出。
平均発行時間	1～15 分。	5暦日	5 暦日

ドメインタイプ（シングルドメイン / ワイルドカード / マルチドメイン）

SSL 証明書は、ドメインまたは IP アドレスにバインドされた場合にのみ機能します。Web サイトのドメインタイプおよびドメイン数は、必要な証明書タイプおよび証明書数を直接決定します。Alibaba Cloud では、シングルドメイン、マルチドメイン、ワイルドカードドメイン の証明書タイプをサポートしています。以下の表で各タイプを比較します。

ドメインタイプ	選定ガイド	重要な注意事項
シングルドメイン	`www.aliyundoc.com` のような 1 つの完全修飾ドメインに証明書をバインドします。	DV、OV、EV の検証レベルをサポート。
マルチドメイン	1 つの証明書に複数のドメインまたは IP アドレスをバインドします。デフォルトでは最大 5 件まで。	IP アドレスを含めるには、上記の IP バインドをサポートする OV 証明書ブランドのいずれかを使用する必要があります。
ワイルドカードドメイン	`.aliyundoc.com` の形式で、同一階層のすべてのサブドメイン* に一致します。`` ワイルドカードの位置で 1 階層のみ一致します。たとえば、ワイルドカードドメイン `.aliyundoc.com` は `www.aliyundoc.com` および `a.aliyundoc.com` には一致しますが、`a.b.aliyundoc.com` または `c.d.aliyundoc.com` には一致しません。	DV および OV 証明書のみをサポート。購入時に 1 つの証明書に含められるワイルドカードドメインは 1 つだけです。説明複数のワイルドカードドメイン証明書を 1 つに統合するには、「証明書統合リクエスト」をご参照ください。
IP	1 つの証明書を 1 つのパブリック IPv4 アドレスにバインドします。	OV シングルドメイン証明書のうち、GlobalSign、DigiCert、GeoTrust のみが IP バインドをサポートしています。

説明

証明書の購入および発行後、特定の条件を満たす場合、追加ドメインが無料で含まれることがあります。詳細については、「証明書ドメインプレゼントルール」をご参照ください。

暗号化アルゴリズム（RSA / ECC）

RSA：広く使用されている非対称暗号化アルゴリズムで、最高の互換性と最も広範な採用を提供します。
ECC（楕円曲線暗号）：RSA より新しいアルゴリズムで、より高度で安全、高速、リソース消費が少ない特徴があります。現在、主要なブラウザで広くサポートされています。

比較項目	RSA アルゴリズム	ECC アルゴリズム
セキュリティおよび鍵長	より長い鍵長を必要とし、2048 ビットおよび 4096 ビットをサポートします。	より短い鍵長で同等のセキュリティを提供します。 256 ビット：RSA 2048 ビット相当のセキュリティ。 384 ビット：RSA 3072 ビット相当のセキュリティ。
パフォーマンス効率 / 暗号化および復号速度	遅い。	高速。特にモバイルおよび IoT デバイスなどのリソース制限のあるデバイスで効率的です。
メモリおよび CPU 使用量	高い。	低い。
互換性	良好。	標準。RSA よりやや低い。

証明書ブランドおよびタイプ別のサポートされる暗号化アルゴリズム：

証明書ブランド	証明書タイプ	RSA				ECC
		署名アルゴリズム		鍵長		署名アルゴリズム		鍵長
		SHA256withRSA	SHA384withRSA	2048	4096	SHA256withECDSA	SHA384withECDSA	prime256v1	secp384r1
DigiCert	DV	対応	対応	対応	対応	未対応	未対応	未対応	未対応
	OV	対応	対応	対応	対応	対応	対応	対応	対応
	EV	対応	対応	対応	対応	対応	対応	対応	対応
GeoTrust	OV	対応	対応	対応	対応	対応	対応	対応	対応
GeoTrust	EV	対応	対応	対応	対応	対応	対応	対応	対応
GlobalSign	DV	対応	対応	対応	対応	未対応	未対応	未対応	未対応
GlobalSign	OV	対応	対応	対応	対応	対応	対応	対応	対応
Rapid	DV	対応	対応	対応	対応	未対応	未対応	未対応	未対応
Alibaba Cloud	DV	対応	対応	対応	対応	未対応	未対応	未対応	未対応

説明

SSL 証明書のデフォルト署名アルゴリズムは SHA256withRSA または SHA256withECDSA です。Certificate Management Service コンソールでは SHA384 ベースの署名アルゴリズム（例：SHA384withRSA）を選択できません。このようなアルゴリズムを使用する場合は、ローカルで CSR ファイルを作成し、コンソールにアップロードする必要があります。詳細については、「CSR ファイルの作成方法」および「CSR のアップロード」をご参照ください。

証明書ブランド

証明書ブランドを選択する際は、サポートされる検証レベル、ドメインタイプ、暗号化アルゴリズム、価格を考慮し、ビジネスニーズおよび予算に合わせて選定してください。

説明

ブランドの選択でお悩みの場合は、製品ページにアクセスし、「証明書管理サービス製品お問い合わせ」フォームに記入して、販売前サポートを受けてください。

証明書ブランド	認証局	説明
DigiCert	DigiCert, Inc.	DigiCert（旧 Symantec）は、有名な認証局であり、信頼性の高い SSL 証明書ブランドです。すべての証明書は業界をリードする暗号化技術を使用し、Web サイトおよびサーバーを保護します。
Rapid	DigiCert, Inc.	Rapid は DigiCert のエントリーレベル SSL 証明書ブランドです。ドメイン検証（DV）証明書に特化し、迅速な発行と高いコストパフォーマンスを実現しています。個人 Web サイトおよび小規模ビジネスの基本的な暗号化ニーズに最適です。
GlobalSign、Alibaba Cloud	GMO GlobalSign Pte Ltd.	GlobalSign は、デジタル証明書 CA の草分け的存在です。長年にわたりサイバーセキュリティ認証およびデジタル証明書サービスに注力しており、信頼性の高い CA および SSL プロバイダーです。他のブランドと比較して、Alibaba Cloud 証明書はより良い価格設定を提供しています。

価格参考

SSL 証明書の価格は、証明書タイプ、検証レベル、ドメインタイプ、ブランドによって異なります。実際のニーズおよび予算に応じて証明書を選択できます。

重要

以下に記載の小売価格は参考価格です。最新の価格については、証明書サービス購入ページをご確認ください。

証明書ブランド	証明書タイプ	ドメインタイプ	価格（USD／証明書／年）	備考
証明書ブランド	証明書タイプ	ドメインタイプ	価格（USD／証明書／年）	備考
Alibaba Cloud	DV	シングルドメイン	99	/
Alibaba Cloud	DV	ワイルドカードドメイン	199	/
GeoTrust	OV	シングルドメイン	324	/
GeoTrust	OV	ワイルドカードドメイン	1020	/
Rapid	DV	シングルドメイン	66	/
Rapid	DV	ワイルドカードドメイン	263	/
DigiCert	DV	シングルドメイン	149	/
	DV	ワイルドカードドメイン	629	/
	OV	シングルドメイン	OV SSL：484 OV_PRO SSL：1,325	/
	OV	ワイルドカードドメイン	OV SSL：2,309 OV_PRO SSL：4,717	/
	EV	シングルドメイン	EV SSL：1,118 EV_PRO SSL：1,837	/
GlobalSign	DV	シングルドメイン	249	/
	DV	ワイルドカードドメイン	849	/
	OV	シングルドメイン	349	/
		ワイルドカードドメイン	949	/
		マルチドメイン	749	デフォルトで最大 5 件のシングルドメインを含む。

証明書の購入

証明書の購入方法については、「商用証明書の購入」をご参照ください。

よくある質問

ドメイン名ではなくパブリック IP アドレスしかありません。どの証明書を選べばよいですか？

IP バインドをサポートする OV シングルドメイン証明書を選択してください。購入プロセス中に、GlobalSign、DigiCert、GeoTrust の OV 証明書を選択し、申請時にパブリック IP アドレスを入力してください。

更新または再発行後に、証明書を再デプロイする必要がありますか？

はい、必要です。更新または再発行のたびに新しい証明書が生成されます。新しい証明書ファイルをダウンロードし、Web サーバーにデプロイして古い証明書を置き換える必要があります。

説明

複数年契約証明書を更新して購入し、以前の証明書が ALB、WAF、CDN、DDoS などの Alibaba Cloud 製品にクラウド製品デプロイ機能でデプロイされていた場合、Certificate Management Service (Original SSL Certificate) は、クラウド製品マネージドデプロイ機能を使用して、新しい証明書を自動的にそれらのクラウド製品にデプロイします。デプロイが失敗した場合、システムはメール、内部メッセージで通知を送信します。

ワイルドカード証明書（例：`*.aliyundoc.com`）にはルートドメイン（`aliyundoc.com`）が含まれますか？

はい、含まれます。ワイルドカードドメインをバインドすると、自動的に一致するルートドメインも含まれます。たとえば、*.aliyundoc.com の証明書は、aliyundoc.com も保護します。

説明