マルチドメイン証明書とワイルドカード証明書の違いについて

複数のサイトに対応し運用コストを削減する証明書

ワイルドカード証明書とマルチドメイン証明書は、共に 1 枚で複数の FQDN に対応可能な証明書ですが、どんなときにどちらをつかえばよいか、よくわからないという方もおられます。ここでは両者の違いについて詳しく説明します。

サーバー証明書は FQDN に対して発行されます。FQDN は、お客様がご利用の「ベースドメイン」に加え、サーバーを識別するための「サブドメイン」の組み合わせで構成されます。

FQDN は通常コモンネーム(CN)と同値が Subject Alternative Names （SAN）と呼ばれる領域に登録されますが、マルチドメインやワイルドカードでは、SAN の値をさらに追加登録することで、カバー範囲を拡大することができます。

カバー範囲の違い

ワイルドカード証明書は、CN に「*（アスタリスク）」を含む FQDN を指定することで、同じサブドメイン階層であれば、同一ドメインの異なる複数サブドメインに対して 1 つの証明書でご利用いただける証明書です。

例えば、「*.example.com」を CN としたワイルドカード証明書であれば、「www.example.com」以外に、「developer.example.com」や「api.example.com」といった複数システムで利用ができます。追加で別サブドメイン（階層は同じ）に対応する際にも、新たに証明書の申請や再発行をすることなく、お客様側のシステムで設定を行うことで利用することができます。

ただし、CN で指定した以外のドメイン、たとえば example.co.jp などでは、利用ができません。

一方、マルチドメイン証明書は CN で登録した FQDN に加え、たとえ異なるドメインを含む FQDN であっても SAN の領域に登録して利用することができる証明書です。

いろいろなドメインを 1 枚の証明書にまとめることが出来る点が、ワイルドカード証明書とのカバー範囲の違いです。

どんなドメイン名でも利用することができる一方、SAN に登録がない FQDN のシステムでは利用ができません。必要となる都度、SAN への FQDN の追加登録作業と費用がかかります。

運用上の違い

つぎに、運用上の違いを比べてみましょう。

一般的なワイルドカード証明書では、CN に登録した FQDN 以外の値（ベースドメインは除く）は追加登録ができません。しかし SureServer Prime のワイルドカード証明書では、同じベースドメインの階層の異なるサブドメインを無償で追加登録することができます。

この際、FQDN は SAN への追加となり、証明書を発行しなおす必要があります。また、CN に登録されているドメイン以外のドメインを含んだ FQDN を登録することはできません。

マルチドメイン証明書への追加は、SAN に FQDN を新たに登録する必要があるため、証明書の再発行が必要になります。その際、標準で利用可能な値（FQDN 数）以上の SAN をご利用の場合、追加料金がかかります。また、SAN 追加時には審査が発生します。

証明書の種別についてですが、ワイルドカード証明書は業界規制により、EV 認証型のワイルドカード証明書が発行できません。対してマルチドメイン証明書は、企業認証に加え EV 認証型での証明書を発行することも可能です。
お客様に対して安全性を訴求したい場合は、EV マルチドメイン証明書をおすすめいたします。

対応機種に関しては、両証明書ともに、PC ブラウザ、スマートフォンには対応していますが、携帯電話（所謂、ガラケー）には非対応となっております。例外として、マルチドメイン証明書の場合、CN に登録したドメインへは、携帯電話からでもアクセスできます。