こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。先日の投稿でSSL証明書の種類について解説しました。今回は無料で利用できるLet’s Encrypt証明書について解説します。
目次
Let’s Encryptとは?
Let’s Encryptは米国の非営利団体である Internet Security Research Group (ISRG) が提供する無料で利用可能なSSL証明書の認証局です。
非営利団体とはいえ、スポンサーとしてAWSやIBM、シスコシステムズなど名だたる企業が名を連ねており、弊社でも案件で多数の利用実績があります。
国内でもお名前.com や さくらのレンタルサーバーでLet’s Encryptが発行したSSL証明書を利用できるようになっており、SSL証明書のコストを抑えながらサイトをSSL対応させることができます。
有償の証明書との違いは?
認証形式はドメイン認証のみ
発行できるSSL証明書の種類としてはドメイン認証になります。企業認証やEV認証の証明書は発行できません。
https://letsencrypt.org/docs/faq/
発行事業者によるサポートがない
通常の証明書と違い、メールなどでやり取りする発行事業者が存在しないため、証明書の発行作業はサーバにシェルアクセスしてCertbotやDehydratedといった証明書発行のためのツールを動作させるか、上述のさくらやGMOのようにLet's Encrypt証明書をホスティングサービスの機能として提供しているサーバーを利用する必要があります。
証明書の有効期限が短い
最後に、証明書の有効期限が90日間と短いところです。有償の証明書と違い発行事業者から期限に関するお知らせが来ないこともあり、前者のパターンではサーバー上で上記の証明書発行ツールを定期的に実行するようにバッチ処理などを設定しておかないと、いつの間にかSSLエラーでサイトが表示できなくなっていた、ということになりかねません。
DNS切り替え前のサーバーでは発行手順が複雑
サーバーをリプレイスする際など、有償の証明書であれば事前にメール認証などで証明書を発行して新サーバーに設置しておくことで、新旧両方のサイトをSSL対応させた上でDNS切り替えを行うことができます。Let's Encryptでは最も簡単な証明書の発行方式がHTTP-01チャレンジと呼ばれるもので、これはDNSがWebサーバーに向いている状態、すなわちサーバーリプレイス時には切り替え完了後にのみ可能な方法になります。
https://letsencrypt.org/ja/docs/challenge-types/
他にもDNS-01という認証方式でDNSレコードに認証用のレコードを登録する方法もありますが、上述の証明書期限90日ごとにDNSレコードの変更が必要になるため、ある程度自動的にDNSレコードを書き換えられる仕組みが必要になります。
Let's Encryptを使う際の注意点
上記の制限以外は普通のドメイン認証のSSL証明書とは変わりませんので、Let’s Encryptだからサイト動作が重い、暗号強度が弱い、ということはありません。
そのため基本的にどんなサイトにでも使えますが、専用サーバーなどでCertbotやDehydratedを実行する必要がある場合はやはり慎重な検討が必要です。
SSL証明書を自動更新するように設定した後も、更新によって意図しない設定が書き変わっていないか、意図せぬエラーで更新が中断されてしまっていないかをしっかり確認する必要があります。
また、前述のようにサーバーリプレイスの場合はあらかじめ新サーバーに証明書をおくことが難しいケースも多く、移行のプロセスも入念に検討する必要があります。
さいごに
クロジカサーバー管理ではお客様のサイトについてヒアリングさせていただき、必要に応じてSSL証明書の取得・更新の代行もご案内させていただきます。
保守サービスでLet's Encryptの更新設定も対応可能ですので、証明書の更新作業にお悩みの際はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
