2026年には、無料のSSL証明書を取得する方法が複数あります。しかし「無料」だからといって、すべてが同じではありません。取得できる証明書の数、秘密鍵がプライベートに保たれるか、ワイルドカード対応、プロバイダーを離れる際の影響が異なります。
これは他のサイトが行わない比較です:秘密鍵がどこで生成されるかを分析します。プロバイダーがあなたの鍵を持っている場合、暗号化はその根本から侵害されています。
全プロバイダー一覧比較
| プロバイダー | タイプ | 有効期間 | ワイルドカード(無料) | アカウント必要 | 秘密鍵 | 無料制限 | 自動更新 |
|---|---|---|---|---|---|---|---|
| Let’s Encrypt | 独立系CA | 90日 | ✅ DNS-01 | なし | ✅ ローカル | 無制限 | ACMEクライアント経由 |
| ZeroSSL | 独立系CA | 90日 | ❌ 有料のみ | メール | ⚠️ 方法による | 3証明書 | ACME経由 |
| Buypass Go | 独立系CA | 180日 | ❌ | なし | ✅ ローカル | 無制限 | ACME経由 |
| Google Trust Services | 独立系CA | 90日 | ✅ DNS-01 | Google Cloud | ✅ ローカル | 無制限 | ACME経由 |
| Cloudflare | CDNプロキシ | 自動 | ✅ | メール | ❌ Cloudflareが保持 | 無制限 | 自動 |
| SSL For Free | Webツール | 90日 | ❌ | メール | ⚠️ サーバー生成 | 3証明書 | なし |
| ホスティングプロバイダー | バンドル | 90日以上 | 様々 | ホスティングアカウント | ✅ サーバー上 | 無制限 | 通常は自動 |
| AWS ACM | クラウドサービス | 自動 | ✅ | AWSアカウント | ❌ AWSが保持 | 無制限 | 自動 |
独立系認証局(CA)
これらのCAは、ダウンロードして所有できる証明書を発行します。任意のサーバー、プラットフォーム、プロバイダーにインストールできます。
Let’s Encrypt — 業界標準
Let’s Encryptは、Internet Security Research Group(ISRG)が運営する非営利のCAです。グローバルCA市場シェア63.9%、3億枚以上のアクティブ証明書で市場を支配しています。
デフォルトの選択肢となる理由:
- 完全無制限 — 無料枠の制限なし、アップセルなし、有料プランなし
- ワイルドカード証明書 — DNS-01チャレンジ経由、無料
- 巨大なエコシステム — 50以上のACMEクライアント:GetHTTPS(ブラウザ)、Certbot(CLI)、acme.sh(シェル)、Caddy(内蔵)など
- アカウント不要 — ACMEアカウントキーはローカルで生成、メール登録不要
- 証明書の透明性 — 発行されたすべての証明書が公開ログに記録
- 支援者 Mozilla、Google、EFF、Meta、Ciscoなど
制限事項:
- 90日間の有効期間(更新計画が必要 — ガイド)
- DVのみ — OVまたはEVなし(必要ですか?)
- レート制限:登録ドメインあたり週50証明書(正当な使用には十分)
- 専用サポートなし — コミュニティフォーラムのみ
Let’s Encrypt証明書の取得方法:
| ツール | タイプ | 最適な用途 |
|---|---|---|
| GetHTTPS | ブラウザ | インストール不要、鍵がブラウザに留まる |
| Certbot | CLI | Linuxサーバーでの自動更新 |
| acme.sh | シェルスクリプト | root不要、150以上のDNSプラグイン |
| Caddy | Webサーバー | 設定不要のHTTPS |
ZeroSSL — 制限付きの無料枠
ZeroSSLは、Sectigoが運営する商用CAです。有料プラン(月額$10〜$100)とともに無料枠を提供しています。
Let’s Encryptに対する利点:
- 証明書管理用のWebダッシュボード
- プログラマティック発行用のREST API
- メール検証(サーバーアクセス不要)
- 有料プランでの1年間の証明書
注意点:
- 無料枠は3証明書のみ — その後は有料プランが必要
- ワイルドカードは有料のみ — Let’s Encryptはワイルドカードを無料で提供
- 秘密鍵の懸念: Webダッシュボードを使用する場合、鍵はZeroSSLのサーバーで生成される可能性があります。ローカルクライアントでACMEエンドポイントを使用すれば、鍵はローカルに保持されます。
- Sectigoが所有 — 商業的インセンティブを持つ商用CA
結論: ダッシュボードが必要な1〜3サイトにはZeroSSLで十分です。それ以上の場合、Let’s Encryptには制限がありません。詳細比較 →
Buypass Go SSL — 長い有効期間、少ない機能
Buypassは、180日間の有効期間で無料のDV証明書を提供するノルウェーのCAです。Let’s Encryptの2倍です。
利点:
- 180日間の有効期間 = 更新回数が少ない
- ACMEプロトコル対応(Certbot、acme.shで使用可能)
- アカウント不要
- ヨーロッパのCA(GDPR重視の組織に関連)
- 無制限の無料証明書
制限事項:
- ワイルドカード非対応 —
*.example.comが必要な場合は致命的 - コミュニティが小さい — ドキュメントが少なく、テスト済みの統合も少ない
- 知名度が低い
最適な用途: ワイルドカード不要で、より長い有効期間が必要なシンプルなサイト。
Google Trust Services — Googleの独自CA
Google Trust Servicesは、Googleのインフラに支えられたACME経由の無料DV証明書を発行します。
利点:
- DNS-01によるワイルドカード対応
- Google品質の信頼性
- ACME互換(Certbot、acme.sh)
制限事項:
- ACMEエンドポイントにGoogle Cloudアカウントが必要
- Let’s Encryptより少ないコミュニティドキュメント
- 90日間の有効期間
- Google Cloud依存
最適な用途: すでにGoogle Cloudを利用しているチームで、1つのエコシステムに統一したい場合。
CDNおよびクラウドマネージドSSL
これらのプロバイダーは証明書を管理しますが、所有権はありません。
Cloudflare — CDNの一部としての無料SSL
Cloudflareは無料プランで「Universal SSL」を提供しています。しかし、これはダウンロード可能な証明書とは根本的に異なります。
Cloudflare SSLの実際の仕組み:
訪問者 ──HTTPS──→ Cloudflareエッジ ──???──→ オリジンサーバー
(Cloudflareの証明書) (暗号化されていない可能性!)訪問者の暗号化接続はCloudflareで終端され、あなたのサーバーではありません。Cloudflareはトラフィックを復号し、処理(キャッシュ、WAFなど)した後、オリジンに別の接続を行います。
問題点:「Flexible」モード(多くの場合のデフォルト)では、Cloudflare→オリジン接続は平文HTTPです。訪問者はパドロックアイコンを見ますが、バックエンドのトラフィックは暗号化されていません。常に「Full (Strict)」モードでオリジンに実際の証明書を使用してください。
得られないもの:
- ダウンロードできる証明書ファイル
- 自分で管理する秘密鍵
- Cloudflareなしで動作する証明書
- Cloudflareからのプライバシー(すべてのトラフィックが平文で見える)
- 非Webサービスでの使用(メール、Cloudflareの背後にないAPI)
得られるもの:
- 証明書管理ゼロ
- 自動更新
- DDoS保護、CDN、その他のCloudflare機能
- ワイルドカードカバレッジ
最適な用途: プロキシモデルを受け入れてすでにCloudflareを使用しているサイト。エンドツーエンドの暗号化やポータビリティが必要な場合は、実際の証明書の代替にはなりません。詳細比較 →
AWS Certificate Manager(ACM)— AWSサービス専用
ACMは、AWSロードバランサー(ALB/NLB)、CloudFront、API Gatewayに無料の証明書を提供します。
主な制限: 秘密鍵をダウンロードできません。ACMの証明書はAWSマネージドサービスのみで動作し、EC2に直接またはAWS以外のサーバーでは使用できません。AWSのSSLガイド →
Webベースツール(注意が必要)
SSL For Free — 便利さとプライバシーのコスト
SSL For Freeは、Let’s Encrypt証明書を取得するためのシンプルなWebツールでした。現在はZeroSSL/Sectigoが所有し、ZeroSSLにリダイレクトされています。
⚠️ 重大なプライバシー問題: SSL For FreeのWebインターフェースは、秘密鍵をサーバー上で生成してユーザーに送信していました。これは、秘密であるべき鍵にアクセスできたことを意味します。システムが侵害された場合、生成されたすべての鍵が危険にさらされる可能性がありました。
これがSSL For FreeとGetHTTPSの核心的な違いです:GetHTTPSはWeb Crypto APIを使用してブラウザ内で鍵を生成します。鍵はダウンロードするまでブラウザメモリ内にのみ存在します。サーバーが鍵を見ることはありません。詳細比較 →
バンドルSSL付きホスティングプロバイダー
ほとんどの現代のホスティングプロバイダーは無料SSLを含んでいます。通常、AutoSSLまたは独自の統合によるLet’s Encryptを使用しています:
| ホスト | 無料SSL | ワイルドカード | 自動更新 | 有効化方法 |
|---|---|---|---|---|
| Hostinger | ✅ Let’s Encrypt | ✅ | ✅ | hPanel → セキュリティ → SSL |
| SiteGround | ✅ Let’s Encrypt | ✅ | ✅ | Site Tools → セキュリティ → SSL |
| Bluehost | ✅ Let’s Encrypt | ❌ | ✅ | My Sites → セキュリティ |
| Namecheap | ✅ AutoSSL | ❌ | ✅ | cPanel → SSL/TLS Status |
| A2 Hosting | ✅ Let’s Encrypt | ✅ | ✅ | cPanel → SSL/TLS |
| DreamHost | ✅ Let’s Encrypt | ✅ | ✅ | Panel → Secure Hosting |
| DigitalOcean | ❌ | — | — | GetHTTPSまたはCertbotを使用 |
| Hetzner | ❌ | — | — | GetHTTPSまたはCertbotを使用 |
| Vultr | ❌ | — | — | GetHTTPSまたはCertbotを使用 |
ホストが無料SSLを含む場合 — それを使用してください。最も手軽な方法です。
ホストが含まない場合(DigitalOcean、Hetzner、Vultr、Linode、またはVPS)— 素早い証明書にはGetHTTPSを、自動更新にはCertbotを使用してください。
プライバシーの次元:秘密鍵はどこにありますか?
これは他の「最高の無料SSL」記事にはない比較であり、最も重要なセキュリティ上の質問です:
| プロバイダー | 秘密鍵の生成場所 | アクセス権 | リスクレベル |
|---|---|---|---|
| GetHTTPS | ブラウザ(Web Crypto API) | あなただけ | ✅ 最低 |
| Certbot / acme.sh | サーバー(OpenSSL) | あなた + root権限者 | ✅ 通常 |
| Let’s Encrypt(任意のクライアント) | クライアントによる — 上記参照 | クライアントによる | 様々 |
| ZeroSSL(ACMEクライアント) | サーバー | あなた + root | ✅ 通常 |
| ZeroSSL(Webダッシュボード) | ZeroSSLのサーバー | ZeroSSL + あなた | ⚠️ 高い |
| SSL For Free(Web) | サーバー側 | SSLForFree + あなた | ⚠️ 高い |
| Cloudflare | Cloudflareのインフラ | Cloudflare | ⚠️ あなたは持っていない |
| AWS ACM | AWSのインフラ | AWS | ⚠️ あなたは持っていない |
| ホスティングAutoSSL | ホスティングサーバー | ホスト + あなた | ✅ 通常 |
なぜ重要か: 秘密鍵は証明書のセキュリティの基盤です。他の誰かが持っている場合、あなたのWebサイトになりすますことができます。ほとんどの「無料SSLプロバイダー」比較はこれを完全に無視しています。
判断マトリックス
| あなたの状況 | 推奨 | 理由 |
|---|---|---|
| ほとんどのWebサイト | Let’s Encrypt via GetHTTPS | 制限なし、最高のプライバシー、どこでも動作 |
| 自動更新が必要 | Let’s Encrypt via Certbot | 一度設定すれば永久に忘れられる |
| cPanel付き共有ホスティング | ホストのAutoSSL | すでにそこにある、労力ゼロ |
| すでにCloudflare利用中 | Cloudflare + GetHTTPSからのオリジン証明書 | CDNの利点 + 実際のオリジン暗号化 |
| すでにAWS利用中 | ALB/CloudFrontにACM + EC2にGetHTTPS | ACMは無料で自動更新 |
| 長い有効期間が必要 | Buypass Go via Certbot | 180日 vs 90日 |
| ダッシュボード付きで1〜3の証明書 | ZeroSSL | Web UI、メール検証 |
| プライバシー重視 | Let’s Encrypt via GetHTTPS | 鍵がブラウザから離れない |
| Google Cloudユーザー | Google Trust Services | ネイティブ統合 |
推奨事項
ほとんどのWebサイトには:Let’s Encryptが明確な勝者です。
- グローバル市場シェア63.9% — 実証済みのデフォルト
- 制限なし、アップセルなし、制約なし
- 巨大なツールエコシステム
以下が必要な場合は**GetHTTPS**をクライアントとして使用してください:
- ゼロインストール(ブラウザのみ)
- ブラウザ内でローカルに生成される秘密鍵
- Let’s Encryptへの直接接続、仲介者なし
- チャレンジ送信前の事前チェック検証
サーバー上で秘密鍵を生成するツールは避けてください。 ツールプロバイダーがあなたの鍵を持っている場合、暗号化は根本から破綻しています。
よくある質問
無料のSSL証明書は有料のものと同じくらい安全ですか?
はい。すべてのSSL証明書(無料・有料問わず)は同じTLS暗号化を使用します。Let’s Encryptの無料DV証明書は、$500のEV証明書と同一の暗号化強度を提供します。違いは認証レベル(DV/OV/EV)であり、暗号化ではありません。詳細比較 →
なぜ一部のプロバイダーは無料証明書を3つに制限していますか?
ビジネスモデルです。商用CA(ZeroSSL/Sectigo)は無料枠を有料プランへのマーケティングファネルとして使用しています。Let’s Encryptは非営利であり、発行を制限するインセンティブがありません。
CloudflareのSSLは「本物の」証明書ですか?
Cloudflareはあなたのドメインに対して本物の証明書を発行しますが、それはCloudflareのサーバー上にあり、あなたのものではありません。訪問者はCloudflareへの暗号化接続を得ますが、Cloudflareとオリジン間の接続は別です(「Flexible」モードでは暗号化されていない可能性があります)。証明書の所有権も制御権もありません。詳細 →
2029年に有効期限が47日間になるとどうなりますか?
CA/Browser Forumは最大有効期間を47日間に短縮することを決議しました。これはすべてのプロバイダーに等しく影響します。自動更新(Certbot、acme.sh、ホスティングAutoSSL)が必須になります。手動ワークフロー(GetHTTPS)の場合、約30日ごとに更新することになります。
複数のプロバイダーを同時に使用できますか?
はい。メインサイトにはLet’s Encrypt、CDN経由のプロパティにはCloudflare、AWSロードバランサーにはACMを使用できます。異なるCAの証明書は競合しません。
WordPressに最適な無料プロバイダーはどれですか?
ホスティングプロバイダーの組み込みSSLが最もシンプルです。ホストが含まない場合は、GetHTTPSでLet’s Encrypt証明書を取得し、cPanel経由でインストールしてください。WordPress SSLガイド →
プロバイダーの切り替え方法は?
新しいプロバイダーから新しい証明書を生成し、サーバー上のファイルを置き換えます。移行も旧プロバイダーとの調整も不要です。証明書は独立しています — 一つを別のものに置き換えるのは、ファイルの交換だけです。
Let’s Encryptは本番環境に十分な信頼性がありますか?
はい。Let’s Encryptは市場の63.9%を担い、十分な資金を持つ非営利団体(ISRG)によって運営されています。Google、Mozilla、Meta、Ciscoなどがスポンサーです。大企業、政府機関、数百万の本番サイトが依存しています。多くの商用CAより財務的に安定しています。