最近、うちの記事で良く登場するSSLボックス
のRapidSSLの話。
年額2100円と安いSSLサービスなので、それなりに面倒な点がある。
それは、ルート証明機関が新しい物のため、ちょっとした追加設定を入れないと証明書が無効になることがある。
(事前メモ、証明機関=CA、証明書=CERT)
一般的にSSL証明書はルート証明機関(最上位の認証機関)から直接証明書を発行されるわけではなく、ルート証明機関から証明書発行機関として認証された中間証明機関から証明書を発行されるのが一般的である(RapidSSLのルート証明機関はGeoTrust CAで、そこに認証されたRapidSSL CAが証明書を発行してくれる)
また、ルート証明機関は元々PCやスマホなどのブラウザに証明書が内蔵されていて、その証明書によって証明機関が証明される。
これは機種やバージョンによって無効なルート証明機関が存在する事を意味し、GeoTrust CAも古いAndroidやFirefox等では認証されない(証明書がインストールされていない)
無効なルート証明機関から発行された証明書は無効な証明書として判断されて、セキュリティメッセージで「信頼されない証明機関から発行されています」「接続は推奨されません」等のメッセージが出て、せっかくセキュリティのためにSSLを導入しても、逆にとんでもない怪しさを出してしまう(もっとも、信頼されていない証明機関から発行されていても通信の暗号化が出来ることに代わりはないので、個人的に通信を暗号化するためだけの目的であれば続行してしまう手もある)
では、RapidSSLは古い端末で正常に表示できないのかというと、対応策が存在する。
それは、GeoTrust CAを更に別の証明機関から証明して貰うことで有効な証明機関として認証するという方法だ。
最新のブラウザでは
(ROOT)GeoTrust CA -> RapidSSL CA -> User CERT
となるところを
(ROOT)Equifax Secure CA -> GeoTrust CA -> RapidSSL CA -> User CERT
と言うように4層認証にする。
Equifax Secure CAはGeoTrust CAより歴史あるCAなので、WindowsXPや初期のAndroidにも登録されている。
実際には、各種プログラムのSSL証明書設定で証明機関証明書として4層認証用の設定を入れる。
↓(上のCERTが4層用GeoTrust CAの物で、下のCERTがEquifax Secure CAの物)
これを各SSL関連記事で書いたように登録することで4層認証動作するように出来る。
なお、RapidSSLで証明書を請求するとき、
www.hogepiyo.tld や web.hogepiyo.tld
の証明書を取得すると、証明CN(コモンネーム=DNS名)フィールドに、www.hogepiyo.tld or web.hogepiyo.tldとhogepiyo.tldの両方が併記されるので、両方のサーバで使うことも出来る(IPに制限はない)
なので、hogepiyo.tldで運用するつもりでも、適当なホスト名を付けた証明書を取得しておいた方がオトクかもしれない(ただし、ブラウザの参考表示などでは第一CNが表示されるので、hogepiyo.tldでwww.hogepiyo.tldの証明書と表示されたりする)
なお、このCNのルールは私が取得した時点での物なので、証明書を取得するときにはSSLボックスの説明を参照されたい。
(520)
のように無料でグローバルIPが複数取れるなら良いけど、普通のVPSはIP1個が普通)
