ほとんどのWebサイトにはLet’s Encryptの無料DV証明書が必要です。これを読んでいる方の90%以上にとっての回答です。しかし、その理由を理解し、例外を知りたい場合、このガイドですべての判断ポイントを解説します。
判断1: 認証レベル(DV vs OV vs EV)
| 質問 | はいの場合 → |
|---|---|
| コンプライアンスルールや調達ポリシーがOVまたはEVを具体的に要求していますか? | 商用認証局からOVまたはEVを取得 |
| 監査人が証明書に組織名の埋め込みを要求していますか? | OVを取得 |
| どちらでもない? | DVで十分 — Let’s Encryptから無料 |
要約: DVはOVやEVと同じ暗号化を提供します。ブラウザは3つすべてに同じパドロックを表示します。緑のバーは2019年に廃止されました。特定のコンプライアンスチェックボックスがない限り、DVが正しい選択です。
判断2: ドメインカバレッジ
| 構成 | 証明書タイプ | 取得方法 |
|---|---|---|
1ドメイン(example.com) | 単一ドメイン | GetHTTPS — example.comを入力 |
ドメイン + www(example.com + www.example.com) | SAN付き単一ドメイン | GetHTTPS — 両方の名前を入力 |
複数のサブドメイン(www, blog, api, stagingなど) | ワイルドカード(*.example.com) | GetHTTPSワイルドカードガイド |
複数の異なるドメイン(example.com + example.org) | マルチドメイン(SAN) | GetHTTPS — すべてのドメインを入力 |
| サブドメイン + ベアドメイン | ワイルドカード + ベアドメイン | GetHTTPS — *.example.com + example.comを入力 |
| 異なるドメイン + そのサブドメイン | 複数ワイルドカードまたはSAN + ワイルドカード | GetHTTPS — 必要に応じて組み合わせ |
経験則:
- 1〜2ドメイン → 単一ドメイン証明書
- 1つのドメインの多くのサブドメイン → ワイルドカード
- 複数の異なるベースドメイン → マルチドメインSAN
- 上記の組み合わせ → ワイルドカード + SAN を1つの証明書で
判断3: 無料 vs 有料
| 質問 | はいの場合 → |
|---|---|
| OVまたはEV認証が必要ですか? | 有料(商用認証局) |
| コンプライアンスのために保証が必要ですか? | 有料 |
| 専用のCAサポートが必要ですか? | 有料 |
| 上記のいずれでもない? | 無料(Let’s Encrypt) |
無料のLet’s Encrypt証明書は有料証明書と同一の暗号化を提供します。暗号化アルゴリズム、暗号スイート、TLSプロトコルは同じです。認証レベルとサービスに対して支払っており、セキュリティに対してではありません。
判断4: どのツールで取得するか
| 状況 | ツール | 理由 |
|---|---|---|
| サーバーアクセスなし / 素早い証明書 | GetHTTPS | ブラウザベース、インストール不要 |
| root権限のあるサーバー、自動更新が欲しい | Certbot | 自動更新 |
| ホストに無料SSLが含まれている | ホスティングパネル | 既にそこにある |
| 既にCloudflareを使用 | Cloudflare + オリジン証明書 | 組み込みCDN SSL |
| AWS + ALB/CloudFront | ACM | 無料、自動更新 |
判断5: 鍵アルゴリズム
| シナリオ | アルゴリズム |
|---|---|
| 最新のセットアップ(デフォルト) | ECDSA P-256 — 小さく、高速 |
| 非常に古いデバイスのサポートが必要 | RSA 2048 — 最大互換性 |
| 高セキュリティ要件 | ECDSA P-384またはRSA 4096 |
GetHTTPSはデフォルトでECDSA P-256を使用します。すべての最新ブラウザでサポートされ、Let’s Encryptが推奨しています。
よくあるシナリオ
「個人ブログを作っています」
取得: GetHTTPSからyourblog.com + www.yourblog.comの無料DV単一ドメイン。NginxまたはcPanel経由でインストール。合計コスト:$0。
「APIを持つSaaS製品を運営しています」
取得: GetHTTPSから*.yourapp.comの無料DVワイルドカード。app.yourapp.com、api.yourapp.com、docs.yourapp.comを自動的にカバー。自動更新にCertbotを設定。
「ECサイトを立ち上げます」
取得: Let’s Encryptの無料DV。PCI DSSはOV/EVを要求しません。Stripe/PayPalが決済カードのセキュリティを処理します。サブドメインがあればワイルドカードを使用。
「会社の調達がOVを要求しています」
取得: DigiCert、Sectigo、またはGlobalSignのOV証明書($50-200/年)。これは調達のチェックボックスです。暗号化は無料のDV証明書と同一です。
「クライアント向けに50ドメインを管理しています」
取得: 各ドメインにLet’s Encryptの無料DV証明書。DNS API自動化でacme.shを使用するか、素早い一回限りにGetHTTPSを使用。
よくある質問
サブドメインごとに別々の証明書が必要ですか?
ワイルドカード証明書(*.example.com)を使用すれば不要です。1つのワイルドカードで1レベルのすべてのサブドメインをカバーします。ワイルドカードなしでは、はい — 各固有のホスト名が証明書のSANフィールドにリストされる必要があります。
無料から始めて後で有料にアップグレードできますか?
はい。今すぐ無料証明書を取得し、後でコンプライアンスのためにOV/EVが必要になったら、有料証明書を購入してファイルを置き換えてください。移行不要、ダウンタイムなし。詳細 →
Googleはどの証明書を使っているか気にしますか?
いいえ。GoogleのHTTPSランキングシグナルはDV、OV、EV、無料、有料を区別しません。有効なHTTPS証明書はすべて同じSEO効果を提供します。詳細 →
よくわからないので、とにかく動くものが欲しい場合は?
GetHTTPSにアクセスし、ドメインを入力し、手順に従ってください。5分で無料の、信頼された、適切に設定されたSSL証明書が手に入ります。証明書タイプはいつでも後で変更できます。