証明書とホスト名の優先順位

新しい証明書が作成されると、Cloudflareはまずその証明書を展開し、その後それを提供します。

証明書の展開

特定のホスト名に対して、Cloudflareは次の順序でどの証明書（および関連するTLS設定）をそのホスト名に適用するかを決定します：

ホスト名の特異性: 特定のサブドメイン証明書（www.example.com）は、www.example.comへのリクエストに対してワイルドカード証明書（*.example.com）よりも優先されます。
ゾーンの特異性: 特定のサブドメイン証明書（www.example.com）は、ドメインがCloudflare上でゾーンとしてアクティブな場合、カスタムホスト名証明書よりも優先されます。
証明書の優先順位: ホスト名が同じ場合、特定の種類の証明書が他の証明書よりも優先されます。

優先順位証明書の種類
1 Keyless SSL
2 Custom Legacy
3 Custom Modern
4 Custom Hostname (Cloudflare for SaaS)
5 Advanced
6 Advanced - Total TLS
7 Universal
証明書の有効期限: ホスト名と証明書の種類が同じ場合、Cloudflareは最新の有効期限を持つ証明書を展開します。

優先順位	証明書の種類
1	Keyless SSL
2	Custom Legacy
3	Custom Modern
4	Custom Hostname (Cloudflare for SaaS)
5	Advanced
6	Advanced - Total TLS
7	Universal

証明書の提示

Cloudflareは、TLSハンドシェイク中に使用される証明書と設定を決定するために次の順序を使用します：

SNI一致: SNIホスト名と正確に一致する証明書と設定が優先されます。
SNIワイルドカード一致: ホスト名とSNIホスト名の間に正確な一致がない場合、CloudflareはSNIワイルドカードに一致する証明書と設定を使用します。
IPアドレス: SNIが提示されない場合、CloudflareはIPアドレスに基づく証明書を使用します（ホスト名はSNIなしで行われたTLSハンドシェイクをサポートできます）。

ホスト名の優先順位（Cloudflare for SaaS）

ゾーンに複数のプロキシDNSレコードが存在する場合—通常はCloudflare for SaaSを使用して—ゾーン設定と関連するオリジンサーバーを制御できるのは1つのレコードのみです。

Cloudflareは次の順序でこの優先順位を決定します（各レコードが存在し、プロキシされている（オレンジの雲）と仮定します）：

正確なホスト名一致:
1. 新しいカスタムホスト名（SaaSプロバイダーに属する）
2. レガシーカスタムホスト名（SaaSプロバイダーに属する）
3. DNS（論理DNSゾーンに属する）
ワイルドカードホスト名一致:
1. DNS（論理DNSゾーンに属する）
2. 新しいカスタムホスト名（SaaSプロバイダーに属する）

Cloudflareのゾーンに対してホスト名リソースレコードがプロキシされていない（グレーの雲）場合、そのゾーンの設定は適用されず、関連するオリジンで設定された設定が代わりに適用されます。このオリジンは、Cloudflare上の別のゾーンまたは他のサーバーである可能性があります。

例のシナリオ

シナリオ1

Customer1はshop.example.comのゾーンに対してCloudflareを権威DNSとして使用しています。Customer2はSaaSプロバイダーであり、新しいカスタムホスト名shop.example.comを作成し、成功裏に検証しました。その後、トラフィックはCustomer2のゾーンにルーティングされ始めます：

Customer1が自分のゾーンの制御を取り戻したい場合、Customer1はCustomer2に連絡し、カスタムホスト名レコードを削除するように依頼します。もう1つの可能性は、レコードのプロキシを停止する（グレーの雲）ことです。
Customer1がすでにwww.example.comの新しいカスタムホスト名をプロキシしている場合、Customer2はwww.example.comを作成し、検証するため、トラフィックはCustomer2のゾーンにルーティングされ始めます。この新しいカスタムホスト名が最後に検証されたため、Customer1のゾーンの新しいカスタムホスト名は移動状態に入ります。
Customer1がすでにwww.example.comのレガシーカスタムホスト名をプロキシしており、Customer2が*.example.comの新しいワイルドカードカスタムホスト名を作成し、検証した場合、トラフィックはCustomer1のゾーンにルーティングされ、www.example.comのCNAMEはCustomer1を指します。

シナリオ2

顧客は自分のドメインに対してプロキシされたDNSレコードを持っています。顧客のCloudflare上のゾーンは無料プランを使用しています。

この顧客は、Cloudflare for SaaSを利用するSaaSプロバイダーも使用しています。SaaSプロバイダーはCloudflareエンタープライズプランを使用しています。

プロバイダーがワイルドカードカスタムホスト名を使用している場合、元の顧客のプランの制限がプロバイダーのプランの制限よりも優先されます（Cloudflareはそのゾーンを無料ゾーンとして扱います）。Cloudflare for SaaSを通じてエンタープライズの制限を適用するには、元の顧客のゾーンがDNSのみのレコードを使用するか、SaaSプロバイダーが正確なホスト名一致を使用する必要があります。

Cloudflare Dashboard Discord Community Learning Center Support Portal

Cookie Settings