Let's Encrypt vs Cloudflare SSL：どちらを使うべきか？

Let’s EncryptとCloudflareはどちらも無料のSSLを提供しますが、根本的に異なる仕組みです。Let’s Encryptは所有・制御できる証明書を提供します。CloudflareはCDNプロキシの一部としてSSLを管理します。訪問者はあなたのサーバーではなく、Cloudflareに接続します。

比較表

仕組みの違い

Let’s Encrypt：証明書を所有

訪問者 ←──HTTPS──→ あなたのサーバー
                    (あなたの証明書、あなたの秘密鍵)

あなたのサーバーがTLS接続を終端します。秘密鍵、証明書、チェーン全体を制御します。

Cloudflare：プロキシモデル

訪問者 ←──HTTPS──→ Cloudflareエッジ ←──???──→ あなたのサーバー
                    (Cloudflareの証明書)        (HTTPの可能性)

Cloudflareが訪問者とサーバーの間に位置します。「Flexible」モードでは、Cloudflare→オリジン接続は暗号化されていません。常に**Full (Strict)**を使用してください。

Let’s Encryptを使うべき場合

• エンドツーエンド暗号化を自分で制御したい
• 非Webサービス — メールサーバー（SMTP/IMAP）、CDN背後にないAPI
• プライバシー重視 — サードパーティにトラフィックを平文で見られたくない
• ベンダーロックインなし — ホスティング、CDN、アーキテクチャを変更してもSSLを失わない

Cloudflareを使うべき場合

• すでにCloudflareを使用している場合（CDN、DDoS保護、DNS）
• 証明書管理ゼロが必要 — Cloudflareがすべてを処理
• DDoS保護が最優先 — Cloudflareのプロキシが攻撃を吸収

両方の利点を得る方法

多くの本番環境では両方を使用しています：

1. CDN/プロキシとしてCloudflare（訪問者がCloudflareに接続）
2. オリジンサーバーにLet’s Encrypt（Cloudflareが実際の証明書でサーバーに接続）
3. Cloudflareを**「Full (Strict)」モード**に設定

これにより、Cloudflareの CDN機能プラス検証済みのエンドツーエンド暗号化が得られます。オリジン証明書の取得にはGetHTTPSを使用してください。

よくある質問

Cloudflareは「本物の」SSL証明書を提供しますか？

Cloudflareはあなたのドメインに対して本物のブラウザ信頼証明書を発行しますが、Cloudflareのインフラ上にあります。ダウンロードしたり他の場所で使用したりすることはできません。Cloudflareの使用をやめると証明書もなくなります。ポータブルな証明書が必要な場合はLet’s Encryptを使用してください。

Cloudflare SSLは無料ですか？

はい、無料プランで。Cloudflareは「Universal SSL」と呼び、ドメインとサブドメインを自動的にカバーします。ただし、証明書の代金を払うのではなく、プロキシモデルとCloudflareがすべてのトラフィックを見ることを受け入れることになります。

両方を同時に使えますか？

はい — Cloudflareを使用するならそうすべきです。オリジンサーバーにLet’s Encrypt証明書をインストールし、Cloudflareを「Full (Strict)」モードに設定してください。これにより、オリジン-エッジ間の接続も暗号化・検証されます。セットアップガイド →

Cloudflareは私のトラフィックを読みますか？

設計上、はい。Cloudflareはエッジでのトラフィックの復号、キャッシュ、WAF検査、DDoSフィルタリングのためにTLSを終端し、その後オリジンに再暗号化します。これが許容できないユースケース（法的、コンプライアンス、プライバシー要件）では、Let’s Encryptで直接HTTPSを使用してください。