SSLならセクティゴ・コモドのEV・企業・ドメイン認証

SSL/TLS証明書をセクティゴ等のパブリック認証局から発行して貰う場合 申請するドメインの所有者もしくは管理権限を委託されていることを証明 する必要があります

ドメインの所有権を確認するための審査をチャレンジと言いますが代表的な2つの「HTTP-01」と「DNS-01」について、それぞれの特徴と仕組みをわかりやすく解説します。

どちらの方式も、Certbotや各種ACMEクライアント(アプリ)を使用すれば、認証に必要なファイルやレコード情報の生成はアプリ側が自動で行ってくれるため、手動で複雑な値を書き込む必要なありません。

方式	HTTP-01チャレンジ	DNS-01チャレンジ
検証場所	Webサーバー上のファイル	DNSのTXTレコード
自動化	アプリがファイルを自動生成	アプリがレコードを自動生成
ワイルドカード	不可	可能
仕組み	Webサーバー上に特定のファイルを置いて証明する最も一般的な方式で認証アプリが、Webサーバーの公開ディレクトリ(.well-known/acme-challenge/)に、ランダムな文字列を含んだ認証用ファイルを自動生成します。認証局(CA)が外部からそのファイルにアクセスできれば、所有権が認められます。	DNSの設定に特定の値を書き込んで証明する方式
メリット	設定が非常に簡単で、Webサーバーが動いていればすぐに実行可	認証アプリが、ドメインのDNS設定(TXTレコード)に書き込むための認証用トークンを自動生成します。多くのアプリは、DNSサービスのAPIと連携することで、このレコードの追加と削除まで全自動で行ってくれます。
デメリット	80番ポート(HTTP)が開いている必要があります。また、ワイルドカード証明書(*.example.com)の発行には使えません	DNSのAPI連携設定が必要になるため、HTTP-01に比べると初期設定に若干操作知識が必要です。