SSL証明書どこで発行するか 2020

基本はLet’s EncryptかACM。最近はACM優勢になりつつある。

Let’s Encrypt

コマンド一発で発行できてさらにCronで定期的に実行しておけば自動更新もしてくれて便利。

ただしサーバーを冗長化してたりするとうまく認証ができず発行/更新ができない(ロードバランサーの設定次第ではできるらしい)
そういう場合はDNSで認証を行うこともできるが、それならACMを使うかなと。

AWS Certificate Manager(ACM)

サイトの前段にCloudFrontをかます時にACMの利用が必須となるので最近よく使う。
他で発行した証明書をインポートすることもできるが、どうせならこっちで作り直してしまった方が楽。DNSに検証用レコードを入れっぱにしておけば自動更新もしてくれる。

JPRS

安い。年間980円とか。
サーバーを冗長化していてかつDNSを自由にいじれないなど、Let’s EncryptもACMも使えない場合の選択肢。

GeoTrust

ガラケーなどの古い環境がサポート対象に含まれている場合とか。

あとAPI通信しているシステムで先方のサーバーが古くてガラケー並の場合がある。
Let’s EncryptやJPRSの証明書使った際に向こうのサーバーからこっちのサーバーにアクセスできなくなり障害発生したときはたまげた。

ちなみにSHA-1廃止の時も同じやらかしをしてるので、他システムと連携しているサーバーのSSL証明書更新は舐めてかかると痛い目を見る。