パブリックSSL/TLSサーバ証明書を登録する状況と登録しない状況
証明書をCTログに登録するかどうかを判断する前に、証明書をパブリックCTログに登録することは、ほとんどの状況において正しい選択であることを理解しておくことが重要です。
しかし、デジサートではCTログで公開したくない内部ドメインが存在する可能性も理解しています。これらのドメインは、CTログから除外することができます。以下は、CT登録に関して正しい選択を行うために役立つ情報です。
どのような場合にパブリックSSL/TLSサーバ証明書を登録するべきですか?
証明書がパブリックウェブサイトを保護している場合、証明書は常にパブリックCTログに登録する必要があります。
証明書の情報はすでに一般公開されています。サイトの訪問者は、ブラウザの鍵アイコンをクリックして証明書の詳細を表示することができます。これはパブリックCTログで利用できるものと同じ情報です。
証明書を登録しないことで得られるメリットはなく、デメリットのみが生じます。ブラウザ(Chrome、Safari、およびその他ブラウザ)は現在CT登録を必須としており、登録されていないパブリック証明書には「信頼できません」警告が発行されます。これによってユーザーのサイトへの接続が切断され、サイトが実質的に使用不能になります。
どのような場合にSSL/TLSサーバ証明書情報を非公開にするべきですか?
証明書が内部またはプライベートサイトを保護しており、ブランディング、プライバシー、またはネットワークセキュリティ面での理由で非公開にしておく必要がある組織とドメイン名がある場合、証明書を登録しないことを選択できます。
この場合のデメリットは、ほとんどのブラウザ(Chrome、Safariなど)にCT登録要件があり、サイトに接続するユーザー全員に「信頼できません」警告が表示されることです。このため、以下を確認するようにしてください。
組織とドメイン名を非公開にしておく絶対的な必要性がある。
サイトを訪問し、「信頼できません」警告を受けるユーザーを管理する準備が整っている。