wwwサブドメインのためだけにCertbotでSSLのワイルドカード証明書を取得するか?
Let's Encryptのワイルドカード証明書を取得しようとしたときの覚書。
環境: CentOS Stream 9, certbot 2.4.0
最近は無料で比較的簡単に実現可能。
参考
- Welcome to the Certbot documentation! — Certbot 2.11.0 documentation
- Let’s Encryptの導入 (SAN証明書, ワイルドカード証明書) – Int Design LLC.
- 無料SSL「Let’s Encrypt」でワイルドカードを設定し、ValueDomainで自動更新する | 株式会社オルタ
メリットとデメリット
Let's Encryptのワイルドカード証明書を取得するにはDNSを使った認証方法にする必要がある。
参考: チャレンジの種類 - Let's Encrypt - フリーな SSL/TLS 証明書
ワイルドカード証明書のメリット
- サブドメインでいちいち証明書を取得する必要がなくなる。
- 「www」サブドメインのありなしとか考えなくていい。
ワイルドカード証明書のデメリット
- 定期的にDNSのTXTレコードを書き換えないと証明書が失効する。
- DNSをAPI経由で書き換えるバッチを定期実行するため、システムが複雑化する。
- 「www」を追加するだけならHTTP経由の認証方法で十分だと思う。
certbotの自動更新に対応しているDNSプロバイダは公式サイトからリンクされている。
参考: DNS providers who easily integrate with Let's Encrypt DNS validation - Issuance Tech - Let's Encrypt Community Support
certbotが標準で対応しているDNSプロバイダを利用するなら、ワイルドカード証明書を使うのはありだと思う。