harumaki.net

インフラ屋の覚書や、ラーメン食べある記とか。

開発・検証でSSL証明書を使いたい!テスト/トライアル用、無料版の情報を集めてみた

   


今更感たっぷりなネタだけど、Web・アプリ開発においてお世話になる頻度がとても高い要素なので、自署証明書(オレオレ証明書)を使わず、商用向けの認証局でテスト証明書を利用する際の参考として、いったん取りまとめてみました。

セキュア通信への対応がマストになりつつあることと、無料でSSL証明書を提供するプロバイダが増えてきている現在、”無料お試し”の意義は相対的に減少しているのでは、と感じる一方で、シェアの多い認証局での商用利用はまだまだあると思われます。

▼テスト証明書を使う目的は?

これは言うまでもなく、”セキュア環境で動作テストをしたい”に他ならないのですが

  • ステージング環境での最終チェック
    →実際の環境での応答速度をチェックしたい
    →会員ページなどでのセキュリティを確認したい
    →https://で利用するページで、外部リンクやブラウザの警告チェックをしておきたい

といった目的や

  • SSL通信の強度やアルゴリズムはともかく、開発初期からSSL対応にしておきたい
    →ソース内で画像やCSSへのリンクが http:// で書いてしまっていて、SSL環境でアクセスしたら警告が出ちゃった(相対パスで書いてくれ~)!といった初歩的な不具合を回避しておきたい

というポリシーのプロジェクトまで、さまざまだと思います。

▼確認したいこと

  • 申請から発行まで自動で完了するか?
    トライアル証明書の発行にあたって、オンラインで申請が完了するか?審査が必要かどうか?
    本番の証明書と同じCAで提供しているトライアル証明書はオンラインで申請が完了するものが多く、CAが異なる場合は認証プロバイダで審査が発生するケースが多いようです。
  • 申請から発行までの日数
    即日発行に対応しているか?或いは発行まで日数を要するか?審査があるプロバイダはやはり日数がかかりますね。
    今回いろいろ探ってみたところ、割と即日発行に対応しているプロバイダが多かったので、助かります。
  • 有効期限
    あくまでテストなので長期間の利用を想定しているわけではないながら、開発スケジュールに沿って無理なく利用できる期間かどうか、も判断基準になるかと思います。
    短いところでシマンテックの14日、最長でセコムの90日と割と幅があります。もっとも多いのが30日程度に指定しているプロバイダですね。
  • 認証局
    商用サービスの場合は、商用の証明書とテスト用証明書で同じ認証局を使っているか、またはテスト用は別の認証局が用意されているか、も判断基準になるといえそうです。
    ここは何を基準にするかは様々ですが、次項の“モバイルへの対応状況”に割と影響を与える部分といえます。
  • モバイルの対応状況
    モバイルは制限事項があるケースが多いので要注意。
    平たく言うとテスト用ルート証明書のインストールが必要かどうか?ですね。
  • セキュアシールの有無
    個人的にはシールの有無はそれほど重視していないのですが、サイトポリシーによっては必要とする場合もあるので、テスト証明書でのシール適用の有無も調べてみます。シールのテストは別口になっているものも。
    またブラウザの表示については様々な仕様、制限があったので、今回は割愛しました。
    (例:EV証明書をテストで使えるが、表示色が異なる、など、判別しにくい材料のものが多数あった)
    ただ、今回調べた限りでは、シールについては対応していない仕様のものが多く見られました。

▼商用の認証プロバイダのトライアル/テスト証明書

Webサービスやアプリを企画する段階でどこの認証サービス(証明書)を使うか、があらかじめ決まっている場合は、その認証プロバイダでテスト証明書を使うのが望ましいと考えます。
一方で、商用の証明書とテスト用証明書で認証局が異なる場合があるので、事前に注意が必要でもありますね。

1)シマンテック

言わずと知れたシマンテック(旧ベリサイン)です。
商用認証サービスでは最もシェアが多いので利用する機会は多そうです。開発環境をがっつり整備しておくのが何かと便利。

テスト用無料 SSLサーバ証明書
有効期間 2ヶ月、シマンテック セーフサイト 無料体験版

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 明記なしだが即日可能の様子
有効期限 14日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一、ただし証明書内のプロファイルが異なる
専用ルート証明書の要・不要 必要
シールの有無 無し、シールの動作検証には”シマンテック セーフサイト 無料体験版”を利用する。
制限事項 テスト用ルート証明書のインストールができない端末では利用不可

2)グローバルサイン

本番と同じ認証局”GlobalSign Root CA”で提供されており、同じ仕様でテストに導入できるのがメリット。

テスト用証明書

オンラインで申請が完了でき、かつ即日発行に対応。ワイルドカードにも対応しており、なかなかステキ。
証明書の申し込み前にアンケートがあり、入力すると証明書の申請画面へ進むことができます。

制限事項としては、すでにグローバルサインのアカウントを持っている場合でも、テスト用には別途専用のアカウントを作成し、管理する必要があります。テスト終了後にそのまま入金すれば本番利用ができる仕様だと、手間が省けて良いのですが…

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 即日~
有効期限 45日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一
専用ルート証明書の要・不要 不要
シールの有無 無し
制限事項 テスト用証明書の申請には、テスト証明書専用のアカウントを登録すること。
そのほか ワイルドカードの利用が可能

[所見]
個人的には商用認証サービスのなかでのトライアル利用では最も敷居が低く、利用しやすいと思います。

3)ジオトラスト

こちらもグローバルサイン同様、本番サイトと同じ仕様の証明書をテストで利用できます。

クイックSSL プレミアム 30日間無償お試しサービスお申し込み

製品版と同一仕様につき、発行後30日以内の入金にて、無償期間後に継続使用が可能というところが便利です。
位置づけとしては製品版の無料お試し、といったところですが、即時発行には対応しておらず、審査が発生するとのこと。
難点としては、申請後にメールないし電話で米ジオトラスト担当者から案内が来るとのことですが、肝心の連絡が無いことが挙げられます…(汗

[概要抜粋]

申請方法 オンライン、審査あり
申請から発行までの日数 明記なし、不明
有効期限 30日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一
専用ルート証明書の要・不要 不要
シールの有無 無し
制限事項 特になし
そのほか 製品版と同一仕様につき、有償版への移行が可能

[所見]
本番での使用を想定した無償利用を前提としましょう~

4)セコム

EV証明書をテストで使える、珍しいサービスを提供しています。

セコム:テスト証明書

セコムの特徴は

  • 原則はテスト用認証局からの発行となるが、本番用の認証局にも対応してもらえる(要問合せ)。
  • 有効期限が90日と長期間利用可能。ただし本番用認証局の場合は30日、発行日数も1週間程度となる。
  • EV証明書もテスト用に対応してもらえる

の3点!
基本すべて審査を申請した上でのテストとなるが、誦j何に様々な用途に対応してもらえるので、細かいサービスへの対応が期待できますね。

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 即日~2営業日(上記ページより)
有効期限 90日
ハッシュアルゴリズム sha256
認証局 テスト用、また本番用認証局からの発行にも対応してもらえる(個別対応とのこと)。
専用ルート証明書の要・不要 必要、また上記のとおり、本番用認証局からの発行にも対応してもらえる。
シールの有無 無し
制限事項 携帯電話での接続テスト不可との明記あり。
そのほか EV証明書のテストが可能とのこと(ただしブラウザのURLボックスのカラーは橙でなく緑色)

[所見]
様々なニーズに対応しており、融通が利く印象のサービスといえます。

5)コモド

正規の証明書と同じ認証局とのこと。

コモド:フリーSSL証明書

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 即日~
有効期限 90日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一
専用ルート証明書の要・不要 不要
シールの有無 無し
制限事項 特になし
そのほか 特筆事項なし

6)サイバートラスト

スタンダードな仕様のトライアル証明書。

サイバートラスト:無料トライアルSSLサーバ証明書

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 即日~
有効期限 30日
ハッシュアルゴリズム sha256
認証局 テスト用
専用ルート証明書の要・不要 必要
シールの有無
制限事項 テスト用ルート証明書のインストールができない端末では利用不可
そのほか 特筆事項なし

関連事項:よくある質問

7)DigiCert

サイバートラストで提供している認証サービスの一つです。

DigiCert:テスト証明書のページ

こちらも正規の証明書と同じ認証局とのこと。ただし事前審査が必要となります。サイバートラストのテスト証明書と比較して目についたところとしては…

といった証明書を用いてのテストが可能となっています。
またテスト証明書はDigiCert公式サイトではなく、RMSという会社のサイトからの申請となっています(パートナー会社でしょうか?)

[概要抜粋]

申請方法 オンライン、審査あり
申請から発行までの日数 明記なし、不明
有効期限 30日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一
専用ルート証明書の要・不要 不要
シールの有無
制限事項 審査のための事前対応が必要
そのほか 本番への移行はできないので、再度本番用に証明書を申請する必要がある。

[所見]
ワイルドカード、マルチドメインのテストが可能など、セコムとともに細かい利用目的に対応できるサービス。

8)DigiTrust(デジトラスト)

コモドの認証局を使用した格安証明書。

DigiTrustSSLサーバ証明書 無料トライアル

申請に際して、制限事項、規約があります。

  • 帝国データバンクに会社が登録されていること。
  • 審査期間がある(即日発行にも対応しているようです)

[概要抜粋]

申請方法 オンライン、審査あり
申請から発行までの日数 即日~
有効期限 30日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一 (COMODOの認証局)
専用ルート証明書の要・不要 不要
シールの有無
制限事項 特になし
そのほか 申請に際しては、帝国データバンクに会社が登録されていることが条件。

9)FreeSSL(提供元: RapidSSL/GeoTrust )

こちらはGeoTrustのRapidSSL事業部のトライアル証明書です。

RapidSSLの提供するトライアル証明書

サイトシールが利用できるほかは目立った特徴は見られない印象ながら、ジオトラストのクイックSSLと同じく、有償版へのアップグレード(FreeSSL→RapidSSL)が可能となっています。こちらもジオトラスト同様、テスト利用後に本番での使用を前提とすると良さそうですね。

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 即日~
有効期限 30日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一 (RapidSSL)
専用ルート証明書の要・不要 不要
シールの有無
制限事項 特になし
そのほか ジオトラスト同様、有償版へ移行が可能。

10)Starfield(スターフィールド)

米国のドメインレジストラGoDaddy社の提供する認証サービス。
こちらもマルチドメインに対応しています。

StarField ログインページ(テスト証明書は会員登録ののち、ログイン後の申請となります)

ポイントとしては、スターフィールドSSLの全ての種類のSSL証明書のテスト発行が可能となっています。

  • ドメイン認証、組織認証、EV証明書の3種類。
  • 通常のシングルドメインのほか、ワイルドカード、マルチドメインに対応。
  • 同じCSRでのテスト証明書の発行は何度でもOK

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 未記載、要確認
有効期限 15日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一
専用ルート証明書の要・不要 不要
シールの有無
制限事項 特になし
そのほか マルチドメイン、組織認証、EV証明書等オプション多数。

参考:テスト証明書の利用に関するFAQ

11)EcoCert

こちらもコモド社のリセラーでリーズナブルなSSLを提供しています。

エコサート フリートライアル

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 未記載、要確認
有効期限 30日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一 (COMODOの認証局)
専用ルート証明書の要・不要 不要
シールの有無
制限事項 特になし
そのほか 特記事項無し

12)GlobeSSL

こちらは海外の認証プロバイダ。
こちらもコモド社のリセラーでリーズナブルなSSLを提供しています。コモドのリセラー、多いですね!

GlobeSSL トップページ

ただし目立った特徴は見受けられなかったことと、国内でもコモドのリセラーは他にもあるので、ステージングなどでわざわざ利用するメリットはあまりないかな~

[概要抜粋]

申請方法 オンライン
申請から発行までの日数 即日~
有効期限 30日
ハッシュアルゴリズム sha256
認証局 商用証明書と同一 (COMODOの認証局)
専用ルート証明書の要・不要 不要
シールの有無
制限事項 特になし
そのほか 特記事項無し

▼無料配布をしている認証プロバイダ

個人運営のサイトでの利用だったり、ひとまずシステム側でのセキュア通信の動作をチェックしたい、という場合は無料サービスを利用するのもアリかなと思います。
ただし、必ずしも全て無料、というわけではなく、商用の認証プロバイダがEVなどを有償とする一方で、クイック認証は無償提供、といったスタイルもあります(StartSSLなど)。
ポイントとしては

  • 永年無料ではなく初年度無料、または一定期間無料、といったサービスもあるので事前にサービスの詳細を把握しておく。

といったところですね。

1)StartSSL(提供元:StartCom)

割と早い時期から無料サービスを提供し始めた印象の、StartSSL。

StartSSL 公式サイト

ドメイン認証は無料で提供する一方で、EV証明書などを有償としたビジネスモデル。
少々申請と手順がややこしいながら、無料かつパブリックのセキュアIDを取得できるので、選択肢としては有用かと。

認証プロバイダ StartCom
有効期限 1年(要更新)
ハッシュアルゴリズム sha256
認証局 StartCom CA
制限事項 特になし
そのほか 特記事項無し

ただし、ちょっと前にセキュリティ脆弱性が報告された様子のため、こちらも要チェックですね。

StartSSL Domain validation (Vulnerability discovered). (2016.03.21)

徳丸浩の日記 StartSSLにドメイン認証不備の脆弱性 (2016.03.21)

2)Let’s Encrypt

つづけてLet’s Encrypt。
ISRG(Internet Security Research Group)が運営、先日04/12にベータ版の提供を終了し、正式サービスが開始されたとのことです(わーい♪)。
Gitからコマンドラインクライアントをダウンロードし、取得手続きを行う方式になります。

Let’s Encrypt 公式サイト

Let’s Encrypt 総合ポータル(日本語)

認証プロバイダ ISRG
有効期限 1年(要更新)
ハッシュアルゴリズム sha256
認証局 IdenTrustからのクロスルート
制限事項 取得数制限あり、くわしくはこちら
そのほか Git環境は必須といえますね~

3)WoSign Free SSL Certificate(提供元:沃通/WoSign )

中国系のSSL認証プロバイダ。

WoSign Free SSL Certificates

こちらもStartCom同様、ドメイン認証を無料・EV証明書などを有料とし、付加価値を提供するタイプのサービスの様子です。

さらに無料サービスにおいては

  • 最大3年間無料
  • 同時100ドメインまでのマルチドメインに対応(!?)
  • クロスルート方式

と、ネタ度満載(!?)。ただし安全性はどうなのか…それは使ってみてから要判断かな~

認証プロバイダ 沃通/WoSign
有効期限 1年~最大無料期間3年
ハッシュアルゴリズム sha256
認証局 StartCom
制限事項 仕様がちょくちょく変わるみたい、要確認
そのほか 同時100ドメインまでのマルチドメインに対応

▼制限付き無料SSL証明書

1)AWS Certificate Manager

https://aws.amazon.com/jp/certificate-manager/

AWSの Elastic Load Balancing、Amazon CloudFront にて、ドメイン認証限定で利用可能。開発環境に限らず、プロダクト利用でも!
ELBについては2016年現在バージニアのみで提供、そのほかのリージョンには今後対応予定とのこと。東京リージョンでの早期提供開始に期待!

参考:お世話になっております!
[ACM]AWSの無料SSL証明書サービスCertificate Manager について調べてみた

2016.05.20追記:東京リージョンでもサービス開始とのことです♪
メルマガ登録している”AWS からの最新のお知らせ”にて、”AWS Certificate Manager がより多くのリージョンで使用できるようになりました”との案内が!東京リージョンでも利用できるようになったそうです。
AWS Certificate Manager now available in more regions
ということで、時間ができたら試してみたいと思います♪
EV-SSLや企業認証にも対応していくかもしれない(という期待感w)ので、今後もアップデート情報は要注目ですね~

2)Godaddy Standard SSL Certificates(提供元: GoDaddy)

こちらもGoDaddy社の提供する認証サービス。
オープンソースプロジェクト専用、かつ初年度無料とのことで、開発用のテストとは趣旨が異なることと
2年目以降は有償となるので要注意です。

https://jp.godaddy.com/ssl/ssl-open-source.aspx

▼総評、所見

途中から格安SSL証明書の一覧になりかけてしまったけど、あくまで認証局を選んだうえでテスト利用をする、という前提で何とか書ききってみました。

調べる前は、”テスト用証明書は商用の証明書とは認証局が違う”という先入観があったのですが、実際には別の認証局を用意しているのはシマンテック、セコム、サイバートラストのみで、他の商用プロバイダでは同一の認証局を使っており、モバイル環境でのテスト利用にも支障はなさそうです。

所見としてはステージング環境でのテストにはグローバルサイン、ジオトラストの証明書サービスが適していると感じたところです。無料サービスは個人サイトや技術検証に向いている印象ですね。
ほかELB利用・ドメイン認証のみの前提でなら速攻で導入できるAWS ACMが最強ですね~。更新作業も楽になるので運用管理が楽ですし。

それにしてもコモドのリセラーブランドが結構多いなぁ~
格安SSL証明書のビジネスとか流行ってるのかな?

▼無料の証明書を利用する場合の注意事項

商用プロバイダ、無料プロバイダを問わずテスト用途としては当り前のことですが、メモとして!

  • 同一のコモンネームで何度も申請・発行してはダメ!
  • テストが終わったら速やかに利用を停止しましょう。
    →そうなるとジオトラストは本番利用に移行できるので手間が省けますね。

▼関連リンク

SSL Server Test

iOS へのルート CA のインストール – IBM

Android へのルート CA のインストール – IBM

 - web, 開発 ,