証明書管理サービスは、さまざまな種類と規模の Web サイトに対応する、ワイルドカード証明書、マルチドメイン証明書、ハイブリッド証明書など、さまざまな種類とブランドの証明書を提供しています。このトピックでは、要件に最適な証明書の選択方法について説明します。
クイック選択
証明書を選択する際には、予算、ドメイン名タイプと数量、暗号化レベル、暗号化アルゴリズム、互換性など、さまざまな要素を考慮する必要があります。
個人ユーザー向けの選択例
次の表は、情報を表示するために使用されるが、データ送信を伴わない個人 Web サイトまたはブログの証明書を選択するためのリファレンスを提供します。
要素 | ビジネス特性 | 推奨証明書 |
ドメイン名タイプと数量 | 証明書は 1 つのドメイン名にのみバインドする必要があります(Web サイトとシングルドメイン名は 1 つだけです)。 | 注: を選択します。これは 1 つのドメイン名のみを保護できます。 |
認証強度とセキュリティレベル | 証明書の検証プロセスは簡単かつ迅速で、セキュリティレベルは中程度です。 | ヒント: インストールプロセスを簡素化するために、Softaculous などの自動インストールツールを使用できます。 |
暗号化アルゴリズム | 証明書は、特別な暗号化要件なしに、主流のブラウザと互換性があります。 | RSA (Rivest-Shamir-Adleman) アルゴリズム を選択します。これは、ほとんどのブラウザと互換性があります。 |
証明書ブランドと予算 | 証明書は信頼性が高く、費用対効果が高いです。 | 最も費用対効果の高い [Alibaba Cloud 証明書] を選択します。 |
シナリオ別に証明書を選択する
証明書の価格
証明書の価格は、証明書の種類やブランドなどの要因によって異なります。
価格 に基づいて証明書を選択する
価格の概要
次の表は、シングルドメイン証明書、ワイルドカードドメイン証明書、マルチドメイン証明書の価格を示しています。ビジネス要件と予算に基づいて証明書を選択できます。
証明書ブランド | 証明書タイプ | ドメイン名タイプ | 価格( 1 証明書年あたり USD ) | 説明 |
|
Alibaba Cloud | DV | シングルドメイン名 | 99 | 該当なし |
ワイルドカードドメイン名 | 199 | 該当なし |
DigiCert | DV | シングルドメイン名 | 149 | 該当なし |
ワイルドカードドメイン名 | 629 | 該当なし |
組織検証 (OV) | シングルドメイン名 | OV SSL: 484 OV_PRO SSL: 1,325
| 該当なし |
ワイルドカードドメイン名 | OV SSL: 2,309 OV_PRO SSL: 4,717
| 該当なし |
拡張検証(EV) | シングルドメイン名 | EV SSL: 1,118 EV_PRO SSL: 1,837
| 該当なし |
GlobalSign | DV | シングルドメイン名 | 249 | 該当なし |
ワイルドカードドメイン名 | 849 | 該当なし |
OV | シングルドメイン名 | 349 | 該当なし |
ワイルドカードドメイン名 | 949 | 該当なし |
複数ドメイン名 | 749 | デフォルトでは、証明書は 5 つのシングルドメイン名をサポートします。 |
ドメイン名タイプと数量
証明書は、ドメイン名または IP アドレスをバインドすることによって使用できます。Web サイトを指すドメイン名の種類と数に基づいて、申請する証明書の種類と数を決定する必要があります。
ドメイン名タイプと数量に基づいて証明書を選択する
Alibaba Cloud は、[シングルドメイン]、[マルチドメイン]、[ワイルドカード]、[ハイブリッド] 証明書をサポートしています。次の表は、さまざまなタイプのドメイン名間の違いと、証明書関連の情報を示しています。
ドメイン名タイプ | 説明 | ドメイン名のデフォルトルール | 注意事項 |
シングルドメイン名 | シングルドメイン証明書には、1 つのドメイン名またはパブリック IPv4 アドレスのみをバインドできます。 | プライマリドメイン名の証明書を申請する場合、証明書は www で始まるサブドメインに無料で自動的に割り当てられます。たとえば、example.com の証明書を申請すると、証明書は www.example.com に無料で自動的に割り当てられます。 www で始まるサブドメインの証明書を申請する場合、証明書はプライマリドメイン名に無料で自動的に割り当てられます。たとえば、www.example.com の証明書を申請すると、証明書は example.com に無料で自動的に割り当てられます。 上記のルールは、DigiCert、GlobalSign、Alibaba Cloud 証明書に適用されます。
説明 ファイル検証DNS 検証方法 で証明書の申請時に を選択した場合、上記のルールは有効になりません。 | IP アドレスは、GlobalSign OV 証明書 にのみバインドできます。 |
複数ドメイン名 | マルチドメイン証明書には、複数のプライマリドメイン名、サブドメイン、またはパブリック IPv4 アドレスをバインドできます。Web サイトに複数のプライマリドメイン名またはサブドメインがある場合は、マルチドメイン証明書を選択することをお勧めします。
説明 マルチドメイン証明書には、最大 5 つのシングルドメイン名をバインドできます。 | ルールと制限は、シングルドメイン名の場合と同じです。 | パブリック IPv4 アドレスは、GlobalSign OV 証明書にのみバインドできます。 |
ワイルドカードドメイン名 | ワイルドカードドメイン名は、プライマリドメイン名と、プライマリドメイン名のすべての第 1 レベルサブドメインに一致させることができます。Web サイトに同じレベルのサブドメインが複数ある場合は、ワイルドカード証明書を選択することをお勧めします。 ワイルドカードドメイン名のサブドメインを一致させるルール: |
説明 /wp-json/wp/v2/mediaDNS 検証方法証明書を申請する際に、 で を選択した場合、上記のルールは有効になりません。 | DV 証明書と OV 証明書のみを申請できます。 |
ハイブリッドドメイン名 | ハイブリッド証明書には、さまざまなタイプのドメイン名をバインドできます。たとえば、*.aliyundoc.com と demo.example.com をハイブリッド証明書にバインドできます。
説明 Alibaba Cloud では、同じブランドとタイプの複数の証明書をハイブリッド証明書に結合できます。証明書の購入時または申請時に証明書を結合できます。詳細については、「公式証明書を購入する」および「証明書を結合する」をご参照ください。 | ハイブリッド証明書のルールは、証明書にバインドされているドメイン名のルールと同じです。 | OV 証明書と EV 証明書:すべてのブランドの OV 証明書と EV 証明書を結合できます。 DV 証明書:同じプライマリドメイン名を持つ GlobalSign DV 証明書のみを結合できます。たとえば、プライマリドメイン名が example.com の場合、example.cn や example01.com ではなく、a.example.com と a.b.example.com が証明書の結合でサポートされます。
|
認証強度とセキュリティレベル
SSL 証明書は、セキュリティレベル、暗号化レベル、検証方法に基づいて、[DV]、[OV]、[EV] 証明書に分類されます。これらの証明書は、セキュリティレベル、サポートされているブランド、適用可能な Web サイトタイプによって異なります。
認証強度とセキュリティレベルに基づいて証明書を選択する
Alibaba Cloud は、[DV]、[OV]、[EV] 証明書をサポートしています。
証明書の種類 | 適用される Web サイト | 信頼レベル | 認証強度 | セキュリティレベル | 検証方法と必要な資料 | 証明書の発行にかかる時間 |
DV | 個人用 Web サイト、およびアプリ サービスや企業テストに使用される Web サイト。
説明 Web サイトが企業の事業許可のない個人用 Web サイトである場合、申請できるのは DV 証明書のみです。 | 中程度 | 中程度。CA は Web サイトの信頼性を検証します。 | 中程度 | ドメインネームシステム ( DNS ) 検証。 | 1 ~ 15 分 |
OV | 公共サービス セクター、中小企業、および教育機関向けの Web サイト。
説明 OV または EV 証明書を購入することをお勧めします。 | 高 | 高。CA は、組織または企業の信頼性を検証します。 | 高 | メールまたは電話。ドメイン名、会社概要、事業許可証などの情報を提供する必要があります。 | 5 営業日 |
EV | トランザクション、支払い、プライバシーデータを含むプライバシーレベルの高い Web サイト。大企業の Web サイトや、金融、e コマースなどの業界の Web サイトなどが含まれます。 | 非常に高い | 非常に高い。 CA は厳格な認証を実行します。 | 非常に高い | メールまたは電話。 ドメイン名、会社概要、および事業許可などの情報をご提供いただく必要があります。 | 5 営業日 |
暗号化アルゴリズム
SSL 証明書の一般的な暗号化アルゴリズムには、RSA と 楕円曲線暗号(ECC) があります。暗号化アルゴリズムによって、セキュリティ レベル、パフォーマンス効率、互換性、およびアプリケーション シナリオが異なります。
暗号化アルゴリズムに基づいて証明書を選択する
Alibaba Cloud SSL 証明書は、RSA および ECC 暗号化アルゴリズムをサポートしています。ビジネスにアルゴリズムの種類とパフォーマンスに関する特定の要件がある場合は、次の説明に基づいて証明書を選択してください。
説明 RSA および ECC アルゴリズムを使用する証明書は、Web サイト、ミニ プログラム、およびアプリで使用できます。ただし、証明書を選択する前に、パフォーマンス、互換性、およびコンプライアンスに関するビジネス要件を評価する必要があります。
比較項目 | RSA | ECC |
セキュリティ レベルとキーの長さ | このアルゴリズムでは、より長いキーの長さが必要です。サポートされているキーの長さは 2,048 ビットと 4,096 ビットです。 | このアルゴリズムは、より短いキーの長さで同じレベルのセキュリティを提供します。 256 ビット:ECC 256 ビット キーは、RSA 2,048 ビット キーと同じセキュリティを提供できます。 384 ビット:ECC 384 ビット キーは、RSA 3,072 ビット キーと同じセキュリティを提供できます。
|
パフォーマンス効率または暗号化復号速度 | 低い。 | 高速、特にモバイル デバイスや IoT デバイスなど、リソースが限られている環境では高速です。 |
メモリ使用量と CPU 使用率 | 高い。 | 低い。 |
互換性 | 高い。 | RSA よりもわずかに低い。 |
次の表は、さまざまな証明書ブランドとタイプでサポートされているアルゴリズムを示しています。
証明書ブランド | 証明書タイプ | RSA | ECC |
署名アルゴリズム | キーの長さ | 署名アルゴリズム | キーの長さ |
SHA256withECDSA | SHA384withECDSA | 2,048 | 4,096 | prime256v1 | secp384r1 | SHA256withRSA | SHA384withRSA |
DigiCert | DV | 
|
|
|
| 
|
|
|
|
OV |
|
|
|
|
|
|
|
|
EV |
|
|
|
|
|
|
|
|
GlobalSign | DV |
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
Alibaba Cloud | DV |
|
|
|
|
|
|
|
|
説明 デフォルトでは、SSL 証明書は SHA256withRSA または SHA256withECDSA 署名アルゴリズムを使用します。Certificate Management Service コンソールで SHA384 ハッシュ関数を使用する署名アルゴリズムを選択することはできません。この署名アルゴリズムを使用して証明書を発行するには、コンピューターで証明書署名要求 (CSR) ファイルを作成し、Certificate Management Service コンソールにアップロードします。詳細については、「CSR を作成またはアップロードする」および「CSR ファイルを作成するにはどうすればよいですか?」をご参照ください。
証明書ブランド
ほとんどの場合、初めて証明書を選択する際に、証明書ブランドは主要な考慮事項ではありません。ただし、既存の証明書を更新する場合、または新しいワークロードで同じブランドの証明書を使用する場合は、証明書ブランドの一貫性を確保することで、意思決定を効率化できます。
証明書ブランドに基づいて証明書を選択する
DigiCert や GlobalSign など、さまざまな有名な国際ブランドがサポートされています。証明書ブランドを選択する際は、証明書のタイプ、署名アルゴリズム、キーの長さ、ドメイン名タイプ、証明書の価格、および予算を考慮してください。
証明書ブランド | CA | 説明 |
DigiCert | DigiCert, Inc. | DigiCert(旧 Symantec)は、業界でよく知られており、信頼されている SSL 証明書ブランドです。すべての DigiCert 証明書は、著名な暗号化技術を使用して、さまざまな Web サイトおよびサーバー向けの強化されたセキュリティ ソリューションを提供します。 |
GlobalSign と Alibaba Cloud | GMO GlobalSign Pte Ltd. | GlobalSign は、業界初期の CA です。GlobalSign は、ネットワーク セキュリティ認証とデジタル証明書サービスに取り組んでいます。GlobalSign は、信頼できる CA および SSL 証明書プロバイダーです。他の証明書ブランドと比較して、Alibaba Cloud 証明書は費用対効果が高くなっています。 |
参考資料