wwwサブドメインのためだけにCertbotでSSLのワイルドカード証明書を取得するか?
Let's Encryptのワイルドカード証明書を取得しようとしたときの覚書。 環境: CentOS Stream 9, certbot 2.4.0 最近は無料で比較的簡単に実現可能。 参考 Welcome to the Certbot documentation! — Certbot 2.11.0 documentation Let’s Encryptの導入 (SAN証明書, ワイルドカード証明書) – Int Design LLC. 無料SSL「Let’s Encrypt」でワイルドカードを設定し、ValueDomainで自動更新する | 株式会社オルタ メリットとデメリット Let's Encryptのワイルドカード証明書を取得するにはDNSを使った認証方法にする必要がある。 参考: チャレンジの種類 - Let's Encrypt - フリーな SSL/TLS 証明書 ワイルドカード証明書のメリット サブドメインでいちいち証明書を取得する必要がなくなる。 「www」サブドメインのありなしとか考えなくていい。 ワイルドカード証明書のデメリット 定期的にDNSのTXTレコードを書き換えないと証明書が失効する。 DNSをAPI経由で書き換えるバッチを定期実行するため、システムが複雑化する。 「www」を追加するだけならHTTP経由の認証方法で十分だと思う。 certbotの自動更新に対応しているDNSプロバイダは公式サイトからリンクされている。 参考: DNS providers who easily integrate with Let's Encrypt DNS validation - Issuance Tech - Let's Encrypt Community Support certbotが標準で対応しているDNSプロバイダを利用するなら、ワイルドカード証明書を使うのはありだと思う。 【関連記事】 certbotでSSL化してあるサイトを別サーバーに移行(2024年6月) Let's Encryptで無料SSLをCentOS7に設定(certbot)