wwwサブドメインのためだけにCertbotでSSLのワイルドカード証明書を取得するか?

Let's Encryptのワイルドカード証明書を取得しようとしたときの覚書。

環境: CentOS Stream 9, certbot 2.4.0


最近は無料で比較的簡単に実現可能。

参考


メリットとデメリット

Let's Encryptのワイルドカード証明書を取得するにはDNSを使った認証方法にする必要がある。
参考: チャレンジの種類 - Let's Encrypt - フリーな SSL/TLS 証明書


ワイルドカード証明書のメリット

  • サブドメインでいちいち証明書を取得する必要がなくなる。
  • 「www」サブドメインのありなしとか考えなくていい。


ワイルドカード証明書のデメリット

  • 定期的にDNSのTXTレコードを書き換えないと証明書が失効する。
  • DNSをAPI経由で書き換えるバッチを定期実行するため、システムが複雑化する。
  • 「www」を追加するだけならHTTP経由の認証方法で十分だと思う。


certbotの自動更新に対応しているDNSプロバイダは公式サイトからリンクされている。
参考: DNS providers who easily integrate with Let's Encrypt DNS validation - Issuance Tech - Let's Encrypt Community Support

certbotが標準で対応しているDNSプロバイダを利用するなら、ワイルドカード証明書を使うのはありだと思う。


【関連記事】