AmazonのACMが東京リージョンでサービス開始。ACMをおさらいしよう
AWSのサービスの一つACM(Amazon Certificate Manager)が東京リージョンで利用できるようになりました。ACMは簡単に言うと、無料でSSL証明書を発行してくれるサービスです。東京リージョンサービス開始にあたり、ACMのメリットや導入において気をつける点をおさらいしましょう。
ACM(Amazon Certificate Manager)の特徴とメリット
ACMは、AWSのSSL証明書を無料で発行してくれるサービスです。通信をSSL化することによって、情報を傍受されることを防ぐことが可能で、最近では多くのサイトが常時SSL化対応を行っています。
しかし、SSL証明書を発行するには、証明書発行に年間数万円のコストがかかります。そのため、サイトをSSL化したくても費用の問題で断念するサイトも多いと聞きます。また、開発のテスト用環境やステージング環境にOpenSSLを利用している企業も多いそうです。
SSLを利用しない通信はもとより、自前の証明書であるOpenSSLには脆弱性がある、安易な運用は危険です。
実はこれまでにも、無料SSL証明書の発行サービスとして「Let’s Encrypt」があるのですが、AWS上に展開するACMには次のようなメリットがあります。
設定がUI上で完了、自動更新含めて無料
SSL証明書を発行してもらい、それを適用するには少し面倒な設定が必要です。ACMならクリックだけでGUIから設定が完了します。
SSL証明書には期限があり、更新時期になると証明書の入れ替え(もちろん購入した証明書の場合は再購入)が必要になります。ACMであれば証明書の期限は13カ月となり、期限になると自動更新されますので、全く手間がかかりません。
ACMは、ワイルドカード証明書も無料
ACMはワイルドカード証明書も無料で利用可能です。
ワイルドカード証明書というのは、コモンネームに「*.」のワイルドカードを指定することによって、同じ階層の複数のドメインの証明を1つの証明書でカバーできるものを言います。
たとえば、「*.example.com」でワイルドカード証明書を使用すると以下のようなドメインの証明書が1つでまかなえるのです。
www.example.com
ftp.example.com
smtp.example.com
store.example.com
ACMで注意しなければならないこと
ACMを利用するにあたって注意すべき点もいくつかあります。ACMを導入するにあたって注意すべき点をご説明します。
完全無料ではない!?
非常に便利なACMですが、完全に無料というわけではありません。どういうことかというと、ACMの無料証明書はELB(Elastic Load Balance)か、CloudFrontでしか利用することができません。
ACMが発行する証明書をEC2にそのまま適用して利用することができません。EC2のWebサイトの証明を行うためには、EC2の前にELBを配置する必要があります。ELBの費用は、1時間あたり0.27ドルの費用と1GBあたり0.008ドルのデータ転送費用がかかります。
ただし、ELBもAWSの1年間無料トライアルの対象になっています(1月あたり750時間・15GBまでのデータ転送)ので、1年間のトライアル中は無料でACM恩恵にあずかることが可能です。
利用できる証明書の範囲の制限
ACMで提供される証明書はドメイン証明書までです。それ以上のOVやEVといった企業実在証明型の証明書の発行はできません。
しかし、OVやEV証明書まで必要なサイトはよほど大企業の商業サイトに限られますので、DV証明書のみといっても利用価値は高いといえます。
AWSと連携したACMはコスト面、運用面で大きなメリットあり!
ACMを利用することによる大きなメリットは、まず証明書が無料であるとことです。DV証明書だけでも大手のSSL証明書で年間3万円はかかります。さらにワイルドカード証明書を利用しようとすると9万円程度の追加コストが必要です。
年間で最低3万円、最大12万円のコストメリットは、とても大きいものです。
また、証明書の期限切れを気にしておかないといけない煩わしさからも開放してくれます。証明書の期限切れに伴う、SSL証明書の発行手続きと適用作業は、手間も時間もかかります。
そして、更新を忘れると信用を失ってしまうリスクがあります。それらの面倒からも開放してくれるACMはAWSを利用しているのなら使わない手はない便利なサービスですね。