FQDN証明書でIPアクセス時に警告が出る理由
結論: ブラウザの証明書検証で、アクセス先の名前と証明書の名前が一致しないためです。
1. 何をブラウザが確認しているか
HTTPS接続時、ブラウザは証明書の SAN (Subject Alternative Name) を見て、接続先と一致するかを確認します。
- URLが
https://example.comなら、証明書にDNS:example.comが必要 - URLが
https://192.0.2.10なら、証明書にIP:192.0.2.10が必要
ポイント: FQDNとIPアドレスは別の識別子です。
DNS:example.com だけを持つ証明書で https://192.0.2.10 にアクセスすると名前不一致となり、警告が表示されます。
2. よくある誤解
| 誤解 | 実際 |
|---|---|
| CNにFQDNがあれば十分 | 現在はSANが優先されます。CNのみでは不十分なことが多いです。 |
| 同じサーバなのでIPでも問題ない | 証明書検証は「同じ機器か」ではなく「名前一致」で判定します。 |
3. 警告を避ける方法
- 運用をFQDNアクセスに統一する(推奨)
- どうしてもIP直アクセスが必要なら、証明書のSANに対象IPを追加する
- 内部用途では、社内CAで用途に合わせた証明書を発行する
補足: 公開Webサービスでは、IP直アクセスを前提にしない設計が一般的です。DNS名と証明書名を一致させる運用が安全で管理もしやすくなります。