AWS Certificate Manager が発行するサーバ証明書を調べてみた

Posted on

ELB と CloudFront で使えるサーバ証明書が 無料 で発行できるサービス「AWS Certificate Manager」がリリースされました。

ワイルドカードも使えるドメイン認証 (DV) 証明書が無料というのは太っ腹ですね! EV 認証のような実在証明が不要で、まず SSL/TLS 対応したいという場合には良さそうです。

自分もさっそく試してみたのですが、Management Console ではドメイン名を入力するだけで CSR (署名要求) を求められることはありませんでした。不思議に思ったので、実際に発行されたサーバ証明書がどんな内容になっているか調べてみました。

認証局 は Amazon

最初に驚いたのが Amazon 自ら認証局になっている ということです(Google も同じように認証局になっていますね)。

Amazon 認証局

openssl コマンドで証明書チェーンを調べてみると、Amazon が中間認証局、Starfield Technologies がルート認証局ということがわかります。自ら認証局になることでサーバ証明書の発行にかかるコストを最小化できるわけですね。

$ echo | openssl s_client -connect ssl-test.manabusakai.com:443

(snip)

Certificate chain
 0 s:/CN=manabusakai.com
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
 1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
   i:/C=US/O=Amazon/CN=Amazon Root CA 1
 2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
   i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
 3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
   i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority

Firefox の認証局証明書を確認してみると確かに存在します。証明書の内容から Amazon が認証局になったのは 2015/05/25 のようです。

Firefox の認証局証明書

ディスティングイッシュネームも Amazon の情報

CSR に含めるディスティングイッシュネーム(組織名や部門名など)も Amazon の情報が使われています。どおりで CSR が必要ないわけです。

$ echo | openssl s_client -connect ssl-test.manabusakai.com:443

(snip)

subject=/CN=manabusakai.com
issuer=/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon

てっきり AWS の登録情報から引っ張ってくるのかと思いましたが違いました。あくまでドメイン認証証明書なのでディスティングイッシュネームは Amazon の情報でも問題ないです。

まとめ

無料の証明書といえば Let’s Encrypt が話題になっていますが、AWS Certificate Manager は専門知識がない人でも簡単に使え、かつ発行や更新の面倒な手続きを肩代わりしてくれます。

機能そのものは一般的なドメイン認証証明書と同じですが、発行手続きは CSR すら不要という驚きの簡単さです。手続きが難しかったりコスト面で二の足を踏んでいたユーザーにはキラーサービスになりそうですね。