携帯対応、負荷分散環境で最適な、SSL証明書選び

SSL証明書の取得について、もろもろ調べたのでまとめておく。まず、前提条件としては以下の二点。

  • 日本の主要な携帯電話に対応している
  • 複数台サーバの負荷分散環境で、コストが高すぎないこと

携帯対応については、まとめてページ(巻末にリスト表記)がいくつかあってとても参考になりました。

一方で、負荷分散環境でのライセンスの扱いは、結構調べる必要がありました。SSLアクセラレータやロードバランサーが、実際のSSL処理をする場合、ベンダーによってライセンスの扱いが異なります。ホームページに明記されていないケースでは、実際に問い合わせてみました。まずは条件。

  • ロードバランサーやSSLアクセラレータを利用。実際のSSL証明書はこちらにインストール
  • LB配下には、ウェブサーバ(アプリケーション・サーバ)複数で負荷分散
  • SSLの必要なライセンス数は、実際にSSLの処理をおこなうロードバランサーの台数か? あるいは配下のウェブサーバの台数か?

各社のSSL証明書まとめ

携帯対応、負荷分散環境でのライセンス、価格などを表にまとめてみます(2008年10月1日現在)。負荷分散の『サーバ台数』とは、SSL証明書をロードバランサーだけにインストールしても、配下のWebサーバの数のライセンス数が必要な場合。『LB台数』とは、実際にSSLをインストールするロードバランサーの数だけでよい場合。

企業名 製品名(ルート証明書) 携帯 負荷分散 年間正規価格 海外リセラー
日本ベリサイン セキュア・サーバID
(VeriSign Class3 Primary CA)
ほぼ100% サーバ台数 85,050円
サイバートラスト Sure Server for SSL
(GTE CyberTrust Global Root)
ほぼ100% サーバ台数 78,750円
Thawte SGC SuperCert
(VeriSign Class3 Public Primary CA)
ほぼ100%?
ベリサイン相当
LB台数 $449 $399
ジオトラスト Quick SSL Premium
(Equifax Secure Certificate Authority)
2004年以降の機種 LB台数? 36,540円 $79 ServerTastic
SECOM for web SR2.0
(Security Communication Root CA1)
2006年5月以降の機種 追加料金なし 57,750円
グローバルサイン クイック認証SSL
(GlobalSign Root CA)
2007年以降の機種 サーバ台数 36,540円
Comodo Instant SSL 非対応 LB台数 27,000円

比べてみると、Thawte社の SCG Super Certsがよさそうです。Thawte社は、米VeriSignに買収されているのですが、日本ベリサインは日本ではThawteの証明書の発行はしていないよう。また、検索してトップに出てくる日本語のページは、株式会社メディックスという販売店のページのようです。というわけで、Thawte本社のサポートに直接、英語チャットで色々と確認してみました。

  • 『SGC Super Certs』のルート証明書は、『VeriSign Class3 Public Primary CA』で間違いない?
    答え: Yes, 間違いない
  • ルート証明書が『VeriSign Class3 Public Primary CA』だと、日本の携帯の多くが対応しているという理解でよいか?
    答え: 携帯の中には、中間証明(intermediate certificates)を正しく処理できないモノもあるので、事前に確認してほしい。
  • 日本の携帯からテストできるURLなどはある?
    答え: https://www.thawte.com で試してみて
  • 日本の会社の実在確認は可能?
    答え: Yes, 可能。
  • 日本語でのサポートは受けられる?
    答え: No, 今のところ日本語サポートはなし。
  • 負荷分散環境での利用ライセンス数は?
    答え: 実際にSSL証明書をインストールする数のライセンスが必要。ロードバランサーやSSLアクセラレータのみにインストールする場合は、その数だけでよい。配下のWebサーバにインストールしなければ、Webサーバの分は不要。

というわけで、英語のやり取りがOKであれば、負荷分散&携帯対応という面では、Thawte社が最もよさそうです。ちなみに、Google.comのSSLも Thawte SGC Super Certs のようですね。

日本語サポートが必要な場合は、サーバの台数が多ければSECOM、携帯対応を重視する場合はジオトラストがよいのかも。

負荷分散環境でのライセンス数

ライセンス数に関する各社の詳細は以下の通り。

  • 日本ベリサイン
    ロードバランサーやSSLアクセラレータにインストールする数ではなく、配下のウェブサーバの数。(参照
  • GeoTrust QuickSSL Premium
    米国サポートに確認したところ、『実際にセキュアにするサーバの台数分だけ必要。ロードバランサーが1台なら1枚、二台なら2枚』という、微妙な解答が帰ってきた。配下のウェブサーバ自体が、SSL通信しななければ、ふくまなくてよいのか?
  • Thawte SGC Super Certs
    Supportにチャットで確認。SSLアクセラレータやロードバランサーにインストールする場合、その数だけでよく、負荷分散装置の配下に複数のアプリケーション・サーバがあっても、その数は対象ではない。
  • Comodo社
    メールで問い合わせ。Thawteと同じく、LBやSSLアクセラレータなど実際にインストールする数でよい。
  • セコムパスポートfor Web SR2.0
    LBやサーバの台数に関係なく、1ライセンスでOK。負荷分散環境での利用を売りにしている。
  • グローバルサイン
    ロードバランサーやSSLアクセラレータにインストールする数ではなく、配下のウェブサーバの数。(参照