えっ! wwwあり・なし両方は未対応 CPI SSLサーバー証明書


cpi_ssl_001

知り合いから https でサイトにアクセスしたら 「安全な接続ができませんでした」と表示される場合がある! という相談が・・・

レンタルサーバは CPIさん。KDDI さんが運用する有名なレンタルサーバですね。
私が所属している会社でも、お客様が契約するレンタルサーバとしてお世話になっております。

最近は、SEOの観点からも SSL接続が標準になってきました。
でも SSL証明書って結構高いから つい安価なレンタルサーバが独自のSSL証明書を使いがち。

でも、いろいろ制約があったりするから 落とし穴にハマらないように注意が必要!
今回は 落とし穴にハマちゃったお話。

CPI SSLサーバー証明書 で どんな問題点が起こったの?

あるサイトをサーバ移転も含め大幅リニューアルしました。
サイトは既に何年も前から運用していて、そこそこ有名なお店なので被リンクも結構あるんです。
でもね、リンクしてくれるのはいいんだけど、www があったり・なかったりと混在。

つまり、 https://ドメイン と https://www.ドメイン があるんです。

この混在が今回の問題を起こしました!
https:www.ドメイン は きちんと表示されるんだけど、 https://ドメイン は 「安全な接続ができませんでした」と表示。

あれ? wwwあり・なし どちらでも SSL証明書って対応してるんじゃないの?

wwwあり・なし 両方で対応するのは 「SANs」機能に対応した証明書

wwwあり・なし 両方で対応するには 「SANs」 という拡張機能が必要!
この「SANs」という拡張機能は、1つのサーバ証明書で複数ドメイン(FQDN) の設定ができるようになるんです。

あれ? wwwあり・なしって複数ドメイン(FQDN) なの?
SSL証明書は 「ホスト名やドメイン名(サブドメイン名)等を省略しない形式 FQDN」で管理するんです。なので、https://ドメイン と https://www.ドメイン は別になっちゃんですね。

「SANs」対応している SSL証明書ならば 「wwwあり・なし」だけでなくサブドメインにも対応するので すごく有用です。

ちなみに「wwwあり・なし」対応だけなら「2way」機能とも呼ぶんですけど、これも 「SANs」 機能を使ってるだけなんですね。

CPI SSLサーバー証明書 で 「SANs」 機能 対応なのか?

さて、CPI SSLサーバー証明書はどうなんだろ?

CPIスタッフブログ「httpからhttpsにリダイレクト、www有無のリダイレクト方法(mod_rewrite)」に以下の記載が・・・

1つのSSL証明書で、2つのURLにSSLを設定する場合は、SSL証明書がSANs対応している必要があります。
CPIサーバーの場合ですと、シマンテックとジオトラストの証明書がSANs対応しています。CPI SSLは対応していませんのでご注意ください

現象からみて対応してないだろうなと思ってましたが、やっぱり対応してませんでした。
つまり、CPI SSLサーバー証明書 で 「wwwあり・なし」両方対応するには、それぞれで取得する必要があるんです。

ってことは少し高いけど SANs対応している シマンテックとジオトラストの方がお得になるのかな。さらにサブドメインとか増えても1つの証明書で使えますしね。

リダイレクトじゃダメなの?

http を https にリダイレクトするなら可能です。
でも https://ドメイン から https://www.ドメインのリダイレクトはダメでした。

正確に言えば、リダイレクトはできるんですが、SSLチェックが先にかかるんです。その後リダイレクトになります。
「安全な接続ができませんでした」が先に表示されちゃいます。ほとんどのユーザさんはそこで閉じて先に進んでくれませんよね。

まとめ

結局、SANs対応のSSLサーバー証明書を取り直しました。CPI SSLサーバー証明書も 37000円するので痛い出費です。

被リンクしているサイトに修正依頼していただくのも現実的ではないので、被リンクを無視するか 被リンクを生かすならSANs対応SSL証明書を取得し直すかどちらかになるんですね。

また、「SSLの取得代行や設定」会社が変わるときは、こういう落とし穴にハマらないように注意してください!


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です