SSL証明書の取得について、もろもろ調べたのでまとめておく。まず、前提条件としては以下の二点。
- 日本の主要な携帯電話に対応している
- 複数台サーバの負荷分散環境で、コストが高すぎないこと
携帯対応については、まとめてページ(巻末にリスト表記)がいくつかあってとても参考になりました。
一方で、負荷分散環境でのライセンスの扱いは、結構調べる必要がありました。SSLアクセラレータやロードバランサーが、実際のSSL処理をする場合、ベンダーによってライセンスの扱いが異なります。ホームページに明記されていないケースでは、実際に問い合わせてみました。まずは条件。
- ロードバランサーやSSLアクセラレータを利用。実際のSSL証明書はこちらにインストール
- LB配下には、ウェブサーバ(アプリケーション・サーバ)複数で負荷分散
- SSLの必要なライセンス数は、実際にSSLの処理をおこなうロードバランサーの台数か? あるいは配下のウェブサーバの台数か?
各社のSSL証明書まとめ
携帯対応、負荷分散環境でのライセンス、価格などを表にまとめてみます(2008年10月1日現在)。負荷分散の『サーバ台数』とは、SSL証明書をロードバランサーだけにインストールしても、配下のWebサーバの数のライセンス数が必要な場合。『LB台数』とは、実際にSSLをインストールするロードバランサーの数だけでよい場合。
| 企業名 | 製品名(ルート証明書) | 携帯 | 負荷分散 | 年間正規価格 | 海外リセラー |
| 日本ベリサイン | セキュア・サーバID (VeriSign Class3 Primary CA) |
ほぼ100% | サーバ台数 | 85,050円 | |
| サイバートラスト | Sure Server for SSL (GTE CyberTrust Global Root) |
ほぼ100% | サーバ台数 | 78,750円 | |
| Thawte | SGC SuperCert (VeriSign Class3 Public Primary CA) |
ほぼ100%? ベリサイン相当 |
LB台数 | $449 | $399 |
| ジオトラスト | Quick SSL Premium (Equifax Secure Certificate Authority) |
2004年以降の機種 | LB台数? | 36,540円 | $79 ServerTastic |
| SECOM | for web SR2.0 (Security Communication Root CA1) |
2006年5月以降の機種 | 追加料金なし | 57,750円 | |
| グローバルサイン | クイック認証SSL (GlobalSign Root CA) |
2007年以降の機種 | サーバ台数 | 36,540円 | |
| Comodo | Instant SSL | 非対応 | LB台数 | 27,000円 |
比べてみると、Thawte社の SCG Super Certsがよさそうです。Thawte社は、米VeriSignに買収されているのですが、日本ベリサインは日本ではThawteの証明書の発行はしていないよう。また、検索してトップに出てくる日本語のページは、株式会社メディックスという販売店のページのようです。というわけで、Thawte本社のサポートに直接、英語チャットで色々と確認してみました。
- 『SGC Super Certs』のルート証明書は、『VeriSign Class3 Public Primary CA』で間違いない?
答え: Yes, 間違いない - ルート証明書が『VeriSign Class3 Public Primary CA』だと、日本の携帯の多くが対応しているという理解でよいか?
答え: 携帯の中には、中間証明(intermediate certificates)を正しく処理できないモノもあるので、事前に確認してほしい。 - 日本の携帯からテストできるURLなどはある?
答え: https://www.thawte.com で試してみて - 日本の会社の実在確認は可能?
答え: Yes, 可能。 - 日本語でのサポートは受けられる?
答え: No, 今のところ日本語サポートはなし。 - 負荷分散環境での利用ライセンス数は?
答え: 実際にSSL証明書をインストールする数のライセンスが必要。ロードバランサーやSSLアクセラレータのみにインストールする場合は、その数だけでよい。配下のWebサーバにインストールしなければ、Webサーバの分は不要。
というわけで、英語のやり取りがOKであれば、負荷分散&携帯対応という面では、Thawte社が最もよさそうです。ちなみに、Google.comのSSLも Thawte SGC Super Certs のようですね。
日本語サポートが必要な場合は、サーバの台数が多ければSECOM、携帯対応を重視する場合はジオトラストがよいのかも。
負荷分散環境でのライセンス数
ライセンス数に関する各社の詳細は以下の通り。
- 日本ベリサイン
ロードバランサーやSSLアクセラレータにインストールする数ではなく、配下のウェブサーバの数。(参照) - GeoTrust QuickSSL Premium
米国サポートに確認したところ、『実際にセキュアにするサーバの台数分だけ必要。ロードバランサーが1台なら1枚、二台なら2枚』という、微妙な解答が帰ってきた。配下のウェブサーバ自体が、SSL通信しななければ、ふくまなくてよいのか? - Thawte SGC Super Certs
Supportにチャットで確認。SSLアクセラレータやロードバランサーにインストールする場合、その数だけでよく、負荷分散装置の配下に複数のアプリケーション・サーバがあっても、その数は対象ではない。 - Comodo社
メールで問い合わせ。Thawteと同じく、LBやSSLアクセラレータなど実際にインストールする数でよい。 - セコムパスポートfor Web SR2.0
LBやサーバの台数に関係なく、1ライセンスでOK。負荷分散環境での利用を売りにしている。 - グローバルサイン
ロードバランサーやSSLアクセラレータにインストールする数ではなく、配下のウェブサーバの数。(参照)
ブックマーク & Twitter & はてなスター
コメント