SMTPサーバとWebサーバをあわせたSSL/TLS化

SMTP over SSLとは

電子メールの送受信に使われるSMTP（Simple Mail Transfer Protocol）とPOP（Post Office Protocol）というプロトコルでは、基本的にPOPパスワードやメール本文は暗号化されていません。 平文のまま送受信が行われるため、盗聴や改ざんなどが技術的に可能です。電子メールの暗号化に関する手法はPGPやS/MIMEなどがありますが、導入作業の煩雑さなどが普及を妨げてきました。

これに対し、最近のWebメールの普及といった環境変化もあり、Web通信の暗号化に用いられるSSLサーバ証明書を用いた「POP over SSL」と「SMTP over SSL」という方法が注目を集めています。 手元のメールクライアントソフトとメールサーバとの間の通信をSSL/TLSを用いて暗号化するもので、メールサーバ、クライアントともに一度設定を変更すれば、後は自動的にメールが暗号化されるという導入の手軽さが特徴です。

2016年、Googleが提供するメールサービス「Gmail」では、TLS（Transport Layer Security）による暗号化がなされていないメールに対し、開いた赤い錠の警告アイコン（ ）を表示する仕様に変更されました。GoogleはGmail利用者に対し、この赤い警告アイコンが表示された場合は契約書などの機密文書を送信しないようにと、Gmailヘルプでも注意を呼びかけています。メールの改ざんや情報漏えいを防ぐため、SMTPoverSSL/TLSを利用した暗号化の重要性が高まってきたのです。

マルチドメイン証明書(SANs)・ワイルドカード証明書で実現する電子メールの暗号化

SSLサーバ証明書をWebサーバに導入している企業は多いと思います。これに加えてメールサーバにも導入するとなると、複数のサーバ証明書を購入する必要があり、コストや運用負荷に懸念を持たれるかもしれません。

1つの企業内でも、部署や提供するサービスによって異なるドメインを運用している場合もあります。複数の証明書を保有・管理すると、更新手続きも複数回必要ですし、有効期限の管理も複雑になりがち。Webサイトでは、証明書の有効期限が切れるとサイト利用者のブラウザに警告画面が表示されるなどのトラブルも発生します。
そうしたケースでお勧めなのが「マルチドメイン証明書（SANs）」です。SANsは「Subject Alternate Names」の略で、証明書のサブジェクト代替名を指定することで、複数のドメインであっても一枚の証明書で管理できます。そのため、証明書のコスト負荷を軽減でき、証明書の有効期限の管理や更新手続きなど運用負荷も大幅に軽減できます。　　　　　　　　

証明書が一枚のため、有効期間の管理や更新の手間が少ない。
単品で複数の証明書を購入するよりも安価。

なお、メールサーバやFTPサーバ、Webサーバなどすべてが同一ドメインの場合は「ワイルドカード証明書」も便利です。サブドメインのみ異なる場合は、
ワイルドカード証明書を導入すれば一枚の証明書で保護できます。