wwwサブドメインのためだけにCertbotでSSLのワイルドカード証明書を取得するか？

Let's Encryptのワイルドカード証明書を取得しようとしたときの覚書。

環境： CentOS Stream 9, certbot 2.4.0

最近は無料で比較的簡単に実現可能。

参考

• Welcome to the Certbot documentation! — Certbot 2.11.0 documentation
• Let’s Encryptの導入 (SAN証明書, ワイルドカード証明書) – Int Design LLC.
• 無料SSL「Let’s Encrypt」でワイルドカードを設定し、ValueDomainで自動更新する | 株式会社オルタ

メリットとデメリット

Let's Encryptのワイルドカード証明書を取得するにはDNSを使った認証方法にする必要がある。
参考： チャレンジの種類 - Let's Encrypt - フリーな SSL/TLS 証明書

ワイルドカード証明書のメリット

• サブドメインでいちいち証明書を取得する必要がなくなる。
• 「www」サブドメインのありなしとか考えなくていい。

ワイルドカード証明書のデメリット

• 定期的にDNSのTXTレコードを書き換えないと証明書が失効する。
• DNSをAPI経由で書き換えるバッチを定期実行するため、システムが複雑化する。
• 「www」を追加するだけならHTTP経由の認証方法で十分だと思う。

certbotの自動更新に対応しているDNSプロバイダは公式サイトからリンクされている。
参考： DNS providers who easily integrate with Let's Encrypt DNS validation - Issuance Tech - Let's Encrypt Community Support

certbotが標準で対応しているDNSプロバイダを利用するなら、ワイルドカード証明書を使うのはありだと思う。

【関連記事】

• certbotでSSL化してあるサイトを別サーバーに移行（2024年6月）
• Let's Encryptで無料SSLをCentOS7に設定（certbot）