CoreSSL証明書の注意点!サイトシール表示は申し込み時のコモンネームに注意

Lockbusiness
この記事は約9分で読めます。

2018年6月27日(水)から、SecureCoreの格安証明書であるCoreSSLもサイトシールに対応しました。

ただ気をつけないとサイトシールが表示されない!なんてことにも。

ジャム君はエックスサーバーを利用しているため、エックスサーバーから申し込みを行ったのですが、申し込み方法はシンプルでしたし、設定完了までの時間もかなり短く済んでいましたけどね。

このサイトではLet’s Encryptを利用しているままなのですが、別のサイトでLet’s EncryptのSSL証明書利用からCoreSSL証明書利用に変更した際に感じた注意点をまとめていきたいと思います。

スポンサーリンク

CoreSSLのSSL証明書発行までにかかる時間

ジャム君はエックスサーバーでの申し込みでしたので、エックスサーバー経由での申請を前提として書かせていただきますね。

またすでに申し込みに利用したサイトはLet’s EncryptでSSL通信している環境であったため、独自SSL導入に際し、サイト上で特別な操作を必要とすることはありませんでした。

例えば「http://~」を「https://~」に置換するといったものですね。

実際にCoreSSLの証明書を申し込む手順や、設定する方法などは、各々の環境で異なります。

1.入金~SSL証明書の情報入力

エックスサーバーであれば、オプション独自SSL証明書のお申込みにあるとおりの手順を実行する部分です。

「非必須」と書かれているFAX番号以外、すべての情報を入力していきます。

ここに入力した情報はWhoisで公開されるものとは別のものですので、CoreSSLといったDVレベルのSSL証明書を申し込むのであれば見えることはありません。

いわゆるドメイン認証タイプのものです。

一番お高く、社名がアドレスバーに表示されるEV SSL証明書を購入する際には「組織名」が表示されますが、今回購入したいのはCoreSSLなので関係はありません。

と言いいますか、企業レベルで導入するならともかく、個人ではEV SSL証明書は申し込むようなものではありませんからね。

この入力は入力手順を確認しながらやったとしても、10分もあれば終わるでしょう。

早ければ数分ですね。

2.CoreSSL証明書の発行認証

CoreSSL証明書はエックスサーバーであれば、メール認証かDNS認証か、好きな方で認証することができます。

今回ジャム君が選んだのは、メール認証です。

サブドメインも使っている独自ドメインに設定をしようとしていたため、もしサブドメインに悪影響が出たら困ると、メール認証を選択しました。

adminやpostmasterなど、指定のメールアドレスにしか認証用のメールは届けてくれないため、メール認証をしたい場合にはあらかじめ指定されているメールアドレスを1つ作っておく必要があります。

DNS認証をするのであればメールアドレスでの認証をすっ飛ばせるので、メールを通して手続きをしたくないのであればDNS認証を選んだほうがいいでしょうね。

メールは1.の作業終了後すぐに届き、折り返し作業をすることになります。

指定されたリンクを開いて、メールに書かれた認証コードをコピペするだけなので、1分あればいいでしょう。

3.CoreSSL証明書の発行手続き

メール認証もしくはDNS認証が終わると、CoreSSL証明書が発行されます。

どちらの方法で「独自ドメインの持ち主」であると確認をしたのか、という点が異なるだけです。

5分ほどで認証情報が行き渡ったようで、無事SSL証明書が発行されました。

あとはエックスサーバーの設定完了を待つだけです。

4.サーバーの設定待ち

ジャム君はエックスサーバーを利用しているので、エックスサーバーが自動で取得してきたCoreSSL証明書を設定してくれるのを待つだけです。

おおよそですが、50分ほどで設定完了のメールが届きました。

入金から全体を通してですと1時間ほどです。

エックスサーバーのCoreSSLのページを見てみると、発行に要する日数が1日~2日になっているのですが、ジャム君の場合にはLet’s Encryptで同一のコモンネームにて独自SSL証明書を申し込んでいたため、時間短縮になったのかもしれませんね。


申し込み時のコモンネームにはご注意!

はっきり言って、申し込みの手順自体は何ら難しくありません。

ググれば、図入りでもっと分かりやすいサイトも多数ヒットするでしょう。

エックスサーバーからの簡易的な申し込みでなくとも、SSLボックスのようなサイトでCoreSSL証明書を購入してきて、SSL証明書を持ち込みできるサーバーに自分でインストールすることだって可能です。

ただ!
CoreSSL証明書をサイトシール目的で購入しようと思っているのであれば、コモンネームの設定には気をつけてください。

サイトシールが表示されない原因は2Way利用にあり

CoreSSLを申し込む際、2Way利用として申し込むこともできます。

例えばこのサイトならば、[www.nvl-game.tokyo]と[nvl-game.tokyo]でアクセスした際に、CoreSSL証明書が有効になる方法ですね。

現在このサイトで使っているLet’s EncryptのSSL証明書も、この2Way利用方式で運用しています。

ですが、2Way利用で申し込むと、CoreSSLの証明書に書かれた発行先が、このサイトで発行したとすると[www.nvl-game.tokyo]になるため、現在www.のサブドメインをつけて運用していないこのサイトにサイトシールを貼っても、表示されない原因となります。

SSL証明書は動作するのですが、サイトシールは別のサイトとして認識してしまうんですね。

つまりこのサイトでCoreSSLのサイトシール表示をさせたいと思ったのであれば、[nvl-game.tokyo]で申し込まねばならなかったのです。

その際、[www.nvl-game.tokyo]はSSL証明書が発行されていない状態になりますので、困った状態なわけですね。

サイトシールを表示させたいのであれば、独自ドメインをどのように運用しているのか把握しておかないと、「設定したのにサイトシールが表示されない!」と悩むことになってしまいますよ。

せっかく追加でお金を出してサイトシール対応を考えるのならば、申し込み時にジャム君のような失敗をなさらないようしていただきたいですね。

wwwなしサイトでサイトシールに対応させる方法

wwwあり」サイトと「wwwなし」サイトの2Wayならば申し込みは簡単なのですが、このサイトのように「wwwなし」で運用していると少々厄介。

HSTS対応にさせていると、すべてのドメインがSSL対応にしている必要がありますし、「wwwあり」サイトを非SSLサイトにして.htaccessファイルで301リダイレクトをかけても、非SSLのページを介するためエラーが出てしまいます。

かと言って、「wwwあり」と「wwwなし」で2枚SSL証明書を発行するのは、いくらCoreSSLが安い分類とはいえ、ムダな出費と言えるでしょう。

では、wwwなしサイトではどうやってサイトシールに対応させればいいのか、実はごく単純な方法で可能になっています。

サイトシールを表示させる方法はひと手間だけ

すでにSSL化が済んでいればあまり気にする必要がない部分ですが、ジャム君が使っているエックスサーバーでは無料SSL証明書にLet’s Encryptが用意されていますので、先にwwwあり・wwwなし双方(wwwありしか選択できませんが)をSSL化させます。

そうすると、ブラウザに鍵マークもつくようになり、HTTT/2通信もできる準備ができ、複雑なサイトほど表示速度の高速化や最低限の安全性担保が望めます。

ここまでは通常のSSL化や、すでにSSL化が済んでいるサイトと、何ら変わった点はありません。

この状態になっていることを確認した上で、wwwなしサイトのコモンネームでCoreSSLを申し込みするのです。

手順としてまとめると、こんな手順。

  1. 無料SSLでwwwあり・wwwなしサイト両方をSSL化
  2. .htaccessファイルでwwwありサイトからwwwなしサイトにリダイレクト処理
  3. wwwなしサイト名義でCoreSSL証明書を申請

そうすると、wwwなしサイトはCoreSSL、wwwありサイトはLet’s Encryptと使うSSL証明書が異なりますがSSL化されているためエラーが出ることなく接続でき、さらにはサイトシールも表示が可能になるのです。

ただしこの設定で「wwwあり」サイトからリダイレクトで「wwwなし」サイトに飛んだ場合、SSL証明書を開くとCoreSSLではなくLet’s Encryptになります。

wwwあり」サイトからリダイレクトされてきた場合には、ちぐはぐになる点が残ってしまいますが、もともと「wwwなし」で運用しているのであれば検索エンジンのインデックスも「wwwなし」でされていますので、大きな影響にはならないでしょう。

そもそも鍵マークは見るかもしれませんが、SSL証明書まで開いてオレオレ証明書なのか、せめてLet’s Encryptなのか、確認する人がどれほどいるのか……

そんな事を言い出したら「サイトシール見る?」ってことになりますが、読み込みは多少なり遅くなりますし通信容量も増えますし、鍵マークでだいたいはわかるんですから自己満足の領域ですよね。

といった具合にひと手間加えれば「wwwなし」サイトでもサイトシールに対応しますが、ネットサーフィンを楽しむ側に回る多くの方にとってサイトシールが効果的であるかは謎。

コモンネームを「wwwあり」で間違って取得したからといって、契約期間中に取得し直すのは、ちょっともったいない気がします。

「wwwあり」から「wwwなし」への切り替え

コモンネームを「wwwあり」で申し込んでしまったが、サイトシールのために「wwwなし」で契約期間終了後に取得し直したいと考えているのであれば、手順は簡単。

こちらもジャム君が使っているエックスサーバーでの説明のため、ほかのサーバーだと扱いが異なるかもしれません。

  1. CoreSSLの継続をしないで解約をする
  2. インフォパネルからCoreSSLの削除を行う
  3. 無料SSLでwwwあり・wwwなしサイト両方をSSL化
  4. wwwなしサイト名義でCoreSSL証明書を申請

たったこれだけです。

この手順は、続けて行うならば3.4.を逆転させても作業可能ですが、有効期限の観点で支払い時期を合わせたいといったこともできるため、手順どおりがおすすめです。

ちなみに証明書を削除しなければいいので、解約は継続しないと決めたら作業に入る数日前に行っておいてもいいでしょう。

あんまり早く解約してしまうと、「やっぱり面倒だし継続しよう」と思い直したときに面倒になりますので、早くても継続するか聞かれるようになる1か月前に作業するのがおすすめ。


リッチな方だけ2枚のSSL証明書発行がおすすめ

リダイレクト処理の影響でSSL証明書を開いて見られてしまうと、手順どおり作業いただいても、CoreSSLが使われていない場合も出てきてしまいます。

とくに「wwwあり」サイトから「wwwなし」サイトにお引越しされている場合、被リンクが元の「wwwあり」のままということもありますので、どうしても気になり「サイトシールも表示させたい」のであれば、2枚CoreSSL証明書を入れるのがいいでしょうね。

本当にリッチな方だけで、ふつうに使う分にはあまりおすすめしませんけど……

だって「wwwあり」「wwwなし」どちらのサイトで運営していても、申し込みを間違えなければサイトシール表示できますから。

途中でwwwあり・wwwなし運営を切り替えたら、サイトシール表示できなくなってしまいますけどね。

申し込み時のコモンネーム(wwwあり・wwwなしどっちで運営中?)

というのを間違えなければ、ジャム君みたいに1年後に新規で申し込みし直す必要もなく、継続しての利用ができますので、初回申し込み時にお間違えなく!

コメント

スポンサーリンク
タイトルとURLをコピーしました