CDN/クラウド型WAFを利用する場合、SSL証明書をCA局から購入してインポートするなど、必ずSSL証明書を利用することになります。
Cloudflareでは、証明書も購入することができます。他で購入したものをインポートすることも出来ますが、持ち込み料金もかかりますので、Cloudflare加入時に乗り換えるのがおすすめです。
Cloudflareで証明書を購入すると、秘密鍵の生成、CSRの作成、証明書の更新などのタスクが不要になります。
Cloudflareでは、Dedicated SSLとDedicated SSL with Custom Hostnameの2種類のメニューを用意しています。
各特長について補足します。
①占有型である
無料版証明書の場合、証明書のCommonNameが自ドメインの値とならず、Subject Alternative Name(サブジェクト代替名)に掲載されます。また、Subject Alternative Nameに複数社のドメイン名が掲載されます。有料版の場合、占有型となり、そのようなことはありません。
以下の画像は無料版の例です。
②自動更新
CDN契約の料金と合わせて証明書の料金を支払っていれば、更新は自動で行われ、煩わしい購入(更新)や再インポートの作業がありません。
③ドメインそのものと1レベルのサブドメインを保護
例えばexampledomain.comの場合、exampledomain.comと*.exampledomain.comが保護対象となります。ワイルドカードが指定されているため、ホストが多数あっても1つの証明書でまかなうことができます。ただし、*の部分に入れることができるのは1階層のサブドメインのみです。
例えばwww.exampledomain.comは保護対象ですが、www.subdomain.exampledomain.comは保護対象ではありません。
⑤ドメイン、サブドメイン、および最大50個の追加ホスト名を保護
Subject Alternative Nameに50個までのFQDNを設定することができます。
⑥1階層を超えるサブドメインを保護
Subject Alternative Nameに設定できるホスト名は1階層を超えるサブドメインを設定可能です。上記③で対象外であったwww.sub.exampledomain.comを含めることができます。
以下のようなことが可能になります。
Cloudflareで証明書を購入する場合の制約事項としては、以下のようなことがあげられます。
.iq
.ir
.kp
.sd
.ss
.ye
サブジェクト代替名を50個まで設定でき、その中にワイルドカードまで指定できて$10/月なので、相当のコストを削減できます。
(場合によっては51以上のFQDNを1枚でまかなうことになります)
また、更新の手間が無く、労力も削減することができますので、単一のFQDNでも大きなメリットとなりますが、FQDNが多い場合には特にメリットが大きいです。
本記事ではCloudflareでSSL証明書を購入するメリットについてご紹介させていただきましたが、いかがでしたでしょうか。 当社ではCloudflareのPoCご相談も承っておりますので、「PoCのご相談」からお気軽にご連絡ください!(※PoCは法人のお客様に限ります。あらかじめご了承ください)
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事