Alibaba Cloud Certificate Management Serviceは、個人用Webサイト、eコマースWebサイト、中小企業のWebサイトなど、さまざまな種類のWebサイト向けにさまざまな種類とブランドのSSL証明書を提供します。 証明書管理サービスは、ワイルドカード証明書、マルチドメイン証明書、およびハイブリッド証明書も提供し、複数のサブドメインや異なるドメイン名の保護など、さまざまなビジネス要件を満たします。 このトピックでは、Webサイトの規模、ビジネス要件、および予算に最適な証明書を選択する方法について説明します。
例
証明書を選択する前に、保護するドメイン名の数、証明書のセキュリティレベル、クライアントまたはサーバーとの暗号化アルゴリズムの互換性、暗号化アルゴリズムのパフォーマンス、コンプライアンス要件などの要素を考慮する必要があります。
個人ユーザー: 個人のブログまたはテストWebサイトを作成する個人がWebサイトを所有しており、そのWebサイトがデータ送信なしで情報を表示するためのものである場合、次の表に基づいて証明書を選択できます。
要素
ビジネス特性
推奨される証明書タイプ
保護するドメイン名の数
1つのWebサイトと1つのドメイン名のみを保護します。
単一ドメイン証明書を選択します。 単一ドメイン証明書で保護できるドメイン名は1つだけです。
認証の強さとセキュリティレベル
検証プロセスはシンプルで高速で、セキュリティレベルは中程度です。
ドメイン検証済み (DV) 証明書を選択します。 ドメイン名の信頼性のみを検証する必要があります。 証明書は少なくとも10分で発行できます。
暗号化アルゴリズム
主流のブラウザと互换性があります。
ほとんどのブラウザと互換性のあるRivest-Shamir-Adleman (RSA) アルゴリズムを選択します。
証明書のブランドと予算
信頼性とコスト効率。
最も費用対効果の高いDigiCert証明書を選択します。
エンタープライズユーザー: エンタープライズユーザーの場合、 証明書管理サービス製品ページにアクセスして、テクニカルサポートを取得します。
選択の詳細
ドメイン名の数に基づいたドメイン名タイプの選択
証明書は、ドメイン名またはIPアドレスを証明書にバインドすることによって使用できます。 証明書にバインドするドメイン名の数に基づいて証明書を選択できます。 Alibaba Cloudは、シングルドメイン証明書、マルチドメイン証明書、ワイルドカード証明書、およびハイブリッド証明書をサポートしています。 ドメイン名の種類の違いと、ドメイン名の種類の選択方法を次の表に示します。
ドメイン名タイプ | 説明 | 利用可能な証明書ブランドとタイプ |
単一ドメイン名 | 単一ドメイン証明書は、1つのプライマリドメイン名、1つのサブドメイン、または1つのパブリックIPv4アドレスのみを保護できます。 例: www.aliyundoc.com。 Webサイトまたはミニプログラムにドメイン名またはIPアドレスが1つしかない場合は、単一ドメイン証明書を選択します。 | すべてのブランドと種類の証明書がサポートされています。 GlobalSignを申請する場合にのみIPアドレスをバインドできます 単一ドメインの組織検証済み (OV) 証明書。 |
複数のドメイン名 | マルチドメイン証明書を使用すると、複数のプライマリドメイン名、サブドメイン、またはパブリックIPv4アドレスをバインドできます。 Webサイトに複数のプライマリドメイン名またはサブドメインがある場合は、マルチドメイン証明書を選択できます。 説明 証明書管理サービスから購入したマルチドメイン証明書には、最大5つの単一ドメイン名をバインドできます。 | すべてのブランドのOVおよび拡張検証 (EV) 証明書。 証明書がGlobalSign OV証明書である場合にのみ、パブリックIPv4アドレスをマルチドメイン証明書にバインドできます。 |
ワイルドカードドメイン名 | ワイルドカードドメイン名は、その親ドメイン名および親ドメイン名のすべての第1レベルのサブドメインと一致することができる。 Webサイトに同じレベルの複数のサブドメインがある場合は、サブドメインごとに個別の証明書ではなく、ワイルドカード証明書のみを購入する必要があります。 次のリストは、ワイルドカードドメイン名のサブドメインを照合するために使用されるルールを示しています。
| すべてのブランドのDVおよびOV証明書。 |
ハイブリッドドメイン名 | ハイブリッド証明書を使用すると、異なるタイプの複数のドメイン名をバインドできます。 たとえば、 | すべてのブランドのOV証明書。 |
認証の強度とセキュリティに基づく証明書の選択
Alibaba Cloudは、DV証明書、OV証明書、EV証明書のタイプをサポートしています。 さまざまな種類の証明書は、さまざまなレベルのセキュリティを提供し、さまざまな証明書ブランドをサポートし、さまざまな種類のWebサイトに適しています。
証明書タイプ | 該当するウェブサイト | 信頼性レベル | 認証の強さ | セキュリティレベル | 検証方法と必要な材料 | 証明書発行に必要な時間 | 利用可能な証明書ブランド |
DV | アプリサービス、情報表示、エンタープライズテスト、または個人テストに使用される個人用Webサイト。 説明 ウェブサイトがエンタープライズビジネスライセンスを持っていない個人によって所有されている場合、無料の証明書またはDV証明書のみを申請できます。 | 中程度 | 証明機関 (CA) は、ウェブサイトの信頼性を検証します。 CAは、企業の信頼性を検証しません。 | 中程度 | DNS検証。 ドメイン名のみを指定する必要があります。 | ほとんどの場合1〜2営業日、少なくとも10分 |
|
OV | 公共サービス部門、中小企業、教育機関向けのWebサイト。 説明 一般的な企業、モバイルWebサイト、またはAPI呼び出し関連のアプリケーションの場合、OV証明書またはより高いレベルの信頼を提供する証明書を購入することを推奨します。 | 高い | CAは、組織または企業の信頼性を検証します。 | 高い | メールまたは電話。 ドメイン名の所有権の確認、会社のプロファイル、およびビジネスライセンスの情報を送信する必要があります。 | 3から7営業日 |
|
EV | 大企業のウェブサイトや金融や電子商取引などの業界を含むウェブサイトなど、取引、支払い、プライバシーデータを含むプライバシーの高いウェブサイト。 説明 金融または決済企業の場合は、EV証明書の購入を推奨します。 | 最高 | CAは厳密な認証を実行します。 | 最高 | メールまたは電話。 ドメイン名の所有権の確認、会社のプロファイル、およびビジネスライセンスの情報を送信する必要があります。 | 3から7営業日 | DigiCert |
暗号化アルゴリズムに基づく証明書の選択
Alibaba Cloud SSL証明書は、RSA、楕円曲線暗号 (ECC) 、およびSM2の暗号化アルゴリズムをサポートしています。 ビジネスにアルゴリズムの種類とパフォーマンスに関する要件がある場合は、次のセクションを参照して証明書を選択できます。
国際的に受け入れられているアルゴリズム: RSAアルゴリズムは、広く使用されている非対称アルゴリズムであり、安全なデータ送信と検証のために公開鍵と秘密鍵を使用します。 ECCアルゴリズムと比較して、RSAアルゴリズムは、より高い互換性を提供し、より広く使用されている。 ECCアルゴリズムとは、楕円曲線に基づく公開鍵暗号化アルゴリズムである。 RSAアルゴリズムと比較して、ECCアルゴリズムは、より高度で安全である。 ECCアルゴリズムは、より低いサーバリソース消費でより高速な暗号化およびより高い効率を提供する。 ECCアルゴリズムは主流のブラウザでサポートされています。 RSAおよびECCアルゴリズムを使用する証明書は、Webサイト、ミニプログラム、アプリなどのシナリオで使用できます。 パフォーマンス、互換性、コンプライアンスの要件を確実に満たすには、アルゴリズムを評価して計画する必要があります。
比較項目
RSA
ECC
セキュリティとキーの長さ
アルゴリズムは、より長い鍵長を必要とする。 サポートされるキーの長さは2,048ビットと4,096ビットです。
このアルゴリズムは、他のアルゴリズムと同じレベルのセキュリティを提供するために、より短いキー長をサポートします。
256ビット: ECC 256ビットキーは、RSA 2048ビットキーと同じセキュリティを提供できます。
384ビット: ECC 384ビットキーは、RSA 3072ビットキーと同じセキュリティを提供できます。
パフォーマンスと効率
暗号化と復号化は遅い。
特に、モバイルデバイスやIoTデバイスなど、リソースが限られている環境では、暗号化と復号化が高速です。
メモリ使用率とCPU使用率
高い。
低い。
互換性
このアルゴリズムは、既存のシステム、ブラウザ、およびアプリケーションとの高い互換性を提供します。
アルゴリズムの互換性は高いが、まだRSAアルゴリズムの互換性よりも低い。
SM2アルゴリズム: SM2アルゴリズムは、ECCアルゴリズムに基づいて国家暗号化局によって開発され、承認されています。 SM2アルゴリズムは、中国の商用暗号システムのRSAアルゴリズムを置き換えるために使用されます。 SM2アルゴリズムを使用する証明書は、中国の規制当局のコンプライアンス要件を満たす必要があるシナリオに適しています。
証明書のブランド | 証明書タイプ | キーの長さ | 署名アルゴリズム | ||||||||
RSA | ECC | SM2 | RSA | ECC | SM2 | ||||||
2048 | 4096 | prime256v1 | secp384r1 | sm2p256v1 | SHA256withRSA | SHA384withRSA | SHA256withECDSA | SHA384withECDSA | SM3withSM2 | ||
DigiCert | DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
| |
EV |
|
|
|
|
|
|
|
|
|
| |
GlobalSign | DV |
|
|
|
|
|
|
|
|
|
|
OV |
|
|
|
|
|
|
|
|
|
| |
Alibaba Cloud | DV |
|
|
|
|
|
|
|
|
|
|
デフォルトでは、SSL証明書はSHA256withRSAまたはSHA256withECDSA署名アルゴリズムを使用します。 証明書管理サービスコンソールでSHA384ハッシュ関数を使用する署名アルゴリズムを選択することはできません。 SHA394ハッシュ関数を使用して証明書を発行する署名アルゴリズムを使用するには、コンピューターに証明書署名要求 (CSR) ファイルを作成し、そのCSRファイルを証明書管理サービスコンソールにアップロードする必要があります。 詳細については、「」をご参照ください。CSRファイルを作成するにはどうすればよいですか? そしてCSRの管理。
証明書ブランドに基づく証明書の選択
CAがWebサイトまたはドメイン名情報を検証した後、CAは証明書を発行します。 DigiCert、GeoTrust、GlobalSignなどの国際的なCAを含む、さまざまな有名なCAから選択できます。 証明書ブランドを選択するときは、証明書タイプ、署名アルゴリズムタイプ、キーの長さ、ドメイン名タイプ、価格、およびビジネス要件を考慮する必要があります。 証明書ブランドを特定できない場合は、 証明書管理サービス製品ページ テクニカルサポートを得るため。
証明書のブランド | CA | 説明 |
DigiCert | DigiCert、Inc。 | DigiCertは、業界でよく知られている信頼できるSSL証明書ブランドです。 すべてのDigiCert証明書は、優れた暗号化技術を使用して、さまざまなWebサイトやサーバーに強化されたセキュリティソリューションを提供します。 DigiCertは、以前はSymantecとして知られていました。 |
GlobalSignとAlibaba Cloud | GMO GlobalSign PteLtd。 | GlobalSignは業界の初期のCAです。 GlobalSignは、ネットワークセキュリティ認証およびデジタル証明書サービスに取り組んでいます。 GlobalSignは、信頼できるCAおよびSSL証明書プロバイダーです。 他のブランドの証明書と比較して、Alibaba Cloud証明書はより費用対効果が高いです。 |
ブランド間の証明書価格の比較
証明書のブランド | 証明書タイプ | 価格 (証明書あたり-年) | |
単一ドメイン名 | ワイルドカードドメイン名 | ||
Alibaba Cloud | DV | 99米ドル | 199 |
DigiCert | DV | 米ドル149 | 629 |
OV |
|
| |
EV |
| 非該当 | |
GlobalSign | DV | 米ドル249 | 米ドル849 |
OV | 米ドル349 | 米ドル949 | |