Scutumの「SNI(SSL有り)」の環境について
こんにちは、Scutumサポートデスクです。
ScutumはWebアプリケーションの通信を監視して不正なアクセスから守るサービスです。そのため通信を暗号化するSSL/TLSを利用するサイトにおいては、Scutumの環境自体もSSL/TLSの利用を設定する必要があります。
今回はSSL/TLSを利用する(※以後、SSL有りと表記します)サイト向けのScutumの環境について紹介します。
- SSL/TLS:SSL(Secure Sockets Layer)は、インターネット上でデータを暗号化して送受信する方法のひとつです。また、TLS(Transport Layer Security)は、SSLをもとに標準化させたものです。
Scutumで提供している「SNI」の環境とは?
Scutumでは、SSL有りの環境は、SNIの仕組みを利用して提供しています。
※2021年4月までは、「SSL有り(固有IPアドレス有り)」・「SNI(固有IPアドレス無し)」の2パターンで提供していました。
SNIとは?
SNI(Server Name Indication)とは、1つのサーバー(IPアドレス)で複数のドメイン名のSSL証明書を設定できるようにする、TLSの拡張機能です。
クライアントがドメイン名を伝えることで、サーバ(Scutum)側がドメイン名に紐付いたSSL証明書を表示させる仕組みです。

従来のSSLの仕組みでは、1つのサーバー(IPアドレス)に1つのドメイン名のSSL証明書のみ設定できるという制限がありました。




なぜSNI環境で提供しているのか?
近年インターネットの発展により、グローバルIPアドレスの枯渇が問題化しています。
この問題により、固定IPアドレスの入手が難しくなってきているため、Scutumでは2021年4月から「SNI」での提供を標準とすることにしました。
従来のSSL有り(固有IPアドレス有り)環境との違いは?
利用可能な暗号プロトコルが違います。
「SNI」環境は、TLSv1.0以上の暗号プロトコルを利用して通信を行います。
従来提供していた「SSL有り(固有IPアドレス有り)」の環境では、[SSLv3]と[SSLv2Hello]の利用も可能としていたため、この2つのプロトコルを利用した通信ができないという違いがあります。
一部の古いブラウザやフィーチャーフォンが非対応です。
TLSの通信に対応していない一部の古いバージョンのブラウザや、SNI非対応のフィーチャーフォン(ガラケー)からはサイトにアクセスが出来ない可能性があります。
ただし、現在ほとんどのクラウド型WAFサービスやCDN等でSNIの通信が前提となっていることからも、通常のサイトであればほぼ問題は発生しないと思われます。
弊社で確認できた範囲ですが、一部ブラウザを例に挙げると、Internet Explorer 7以降、Google Chrome 6以降ではSNIに対応しています。(※)
- 2022年6月の時点で自社調べの動作確認のため予めご了承ください。
固有IPアドレスはありません。
Scutumは、複数のお客様サイトを同一のScutum環境に設定し、提供しているマルチテナント型のサービスです。
SNIとは?でお伝えしたとおり、SNIは1つのサーバ(IPアドレス)に対して複数のドメインのSSL証明書を設定することができるので、同一のScutum環境内で設定された場合は同じIPアドレスで設定されます。
そのため、”従来の「SSL有り」=固有IPアドレス有り”と”「SNI」=固有IPアドレス無し”という表記をしています。
固有IPアドレスが無いことで通信に違いは無いの?
こういった心配もあるかと思いますが、
そもそもScutumは、契約FQDNに対するアクセスであるかを[Hostヘッダ]から判別し、[Hostヘッダ]が契約FQDNと一致する場合のみアクセスを受け付ける仕様です。
- FQDNは、Fully Qualified Domain Nameの略称で、ホスト名やドメイン名(サブドメイン名)などすべてを省略せずに指定した記述形式のことです。ScutumはFQDN毎に環境を設定しています。
SNI環境であっても上記仕様は変わりません。
そのため、従来の固有IPアドレス有のSSL有り環境と比較して、SNIにより固有IPアドレスが無いことによる通信の仕様に違いはありませんので、その点はご安心ください。
ご不明な点等がありましたら、お気軽にScutumサポートデスクまでお問い合わせください。