SSLをサブドメインに接続する

X.509証明書（多くの場合「SSL証明書」と呼ばれます）は、通常「mydomain.com」、「www.mydomain.com」、「secure.mydomain.com」などの単一のドメインにのみバインドされます。サブドメインであっても、他のドメイン名では使用できません（したがって、「mydomain.com」の証明書は「www.mydomain.com」には使用できず、その逆も同様です）。

現在、複数のドメイン名を同時に保護するために使用できる証明書には、他に2つのタイプの証明書があります。

• 「サブジェクト代替名」の略である「SAN証明書」と呼ばれる比較的新しいタイプの証明書は、この証明書タイプを必要とするMicrosoft Exchange Serverの機能の後で「統合通信証明書」と呼ばれることもあります。これらの証明書は、使用できるホスト名の有限リストを宣言します。

• 次に、ワイルドカード証明書があります。歴史的にこれらは非常に高価でしたが、最近では価格が大幅に下がっています。これらの証明書の1つを使用すると、最上位の「mydomain.com」を含む「anysubdomain.mydomain.com」を保護できます。

これらのSSL証明書を使用しない場合は、保護するドメイン名ごとにSSL証明書を取得する必要があります。

TLSシステムはチャネルのセキュリティを確立するため、ホスト名/ドメイン名ごとに異なる証明書を使用すると問題が発生する可能性があることに注意してくださいbefore HTTP Host:ヘッダーが送信されます-これは、保護された各Webサイトが独自のIPアドレスまたはポート番号を必要とすることを意味します。

... SNI（サーバー名識別）証明書を使用する場合を除きます。最新のブラウザとサーバーはすべてSNIをサポートしているため、複数の安全なWebサイトがIPアドレスとポートバインディングを独自の証明書と共有できます（つまり、すべてのドメインをリストする単一のSAN証明書は必要ありません）その上）。

悪い知らせは、Windows上のInternet Explorer XPがSNI Webサイトに接続できない（ただしChromeとFirefoxは大丈夫））、そしてサーバー側で必要なことです。少なくともWindows Server 2012以降なので、IE + XPの使用頻度に基づいてSNIを採用してください。