【セキュリティ】サブドメインが別サーバ（heroku）で動いているときのSSLはどのSSLを設定するべきか

お疲れ様です。
SSL周りの知識が薄いため、かなり読みにくい質問になっているかと思います。ご指摘いただければ適宜修正いたしますので、ご回答いただければ幸いです。

知りたいこと

サブドメインが別サーバ（heroku）で動いているときのSSLはどのSSLを設定するべきか

背景

今、レンタルサーバで取得したメインページと、herokuで作成したサブページの二つを持っています。メインページではメインのドメイン（www.sample.jp）を使い、そのサブドメイン（sub.sample.jp）にサブページを当てたいです。

（sub.sample.comのCNAMEにtargetをsample.herokuapp.comで指定しています。herokuはAレコードが使えないため。。）

この時すでにメインページはSSLを取得しているのですが、サブドメインにはメインサーバのSSLを当てるべきなのでしょうか？　サブページを運用するherokuでは最初からSSLが用意されておりそのままherokuのSSLを利用したいのですが、herokuのSSLを有効化しても「sub.sample.jpの証明書は*.herokuapp.comから発行されています」と表示され、保護されていない通信となってしまいます。

行動規範の内容に同意します

回答1件

ベストアンサー

サブドメインにはメインサーバのSSLを当てるべきなのでしょうか？

基本的に、SSLはドメインごとに証明書が必要なので、ワイルドカードやマルチドメインで出していない限り、www.sample.com用の証明書は、sub.sample.comには使えません。別個に用意する、というのが適当かと思います。

投稿2018/10/25 14:50

maisumakun

総合スコア145183

退会済みユーザー

2018/10/25 15:02

ご回答ありがとうございます。なるほど、SSLはドメイン単位なのですね。では今回のようにサブドメイン(heroku)で用意したSSLが利用できないケースでは、ワイルドカードやマルチドメインでSSLを用意し直す必要があるということでしょうか？

maisumakun

2018/10/25 23:16

いえ、自分でサブドメイン単体で取ってきたSSL証明書をHerokuに適用させる、という方法もあります。 https://devcenter.heroku.com/articles/ssl

退会済みユーザー

2018/10/25 23:55

ドメインごとって言うと、微妙に違う気が。FQDN ごとって言わないといけない場面じゃないですかね？違う切り口だけど、サーバサイドの終端装置ごとって区切り方も必要かと。

退会済みユーザー

2018/10/26 01:13

ご回答ありがとうございます。＞＞maisumakunさん「自分でサブドメイン単体で取ってきたSSL証明書をHerokuに適用させる、という方法」そうなのですね、herokuが自動的に当ててくれているSSLだとherokuのサーバに対して発行されたSSLなため（「sub.sample.jp」に発行されたSSLではないため）ダメと言われるのですが、「sub.sample.jp」用に取ってきてherokuに当ててやればいいというわけですね。＞＞te2jiさん FQDNなんてものもあるんですか、今までwwwとかを含めたところまでをドメインだと勘違いしていました。。一昨日くらいからググって得た知識なのですが、「SSLはサーバホストに対して発行されて、そのサーバのレスポンスで表示されていますよと言えればブラウザのURL欄に鍵マークがつく」のだと思っていました。サーバホストの中でもさらに最終端末という概念があるということでしょうか？？

退会済みユーザー

2018/10/26 01:58

立て続けにすみません。調べていく中で、「SSLはドメインに対してとるのではなくホストに対してとる」という文章を見かけたことがあります。前後文脈があげられず申し訳ないのですが、この理解でいくと、HerokuのサーバでSSL証明を発行してもらい、そのHerokuサーバからsub.sample.comが繋がるのは正しい、といってやるイメージなのでしょうか？（若干自分でも言っている意味が怪しい）なんだか言っていて分からないこともあるので、とりあえず先ほど教えていただいたリンク先の記事を読んでやってみようと思います。。

退会済みユーザー

2018/10/26 02:00

（Herokuの元アドレス自体にはSSLが効いているので、設定次第でできるような気もします）

行動規範の内容に同意します