Let’s Encryptは、SSL/TLS証明書を無料で発行する無料、自動化、非営利の認証局(CA)です。63.9%の市場シェアを持つ世界最大の認証局であり、2016年のローンチ以来10億以上の証明書を発行しています。
Let’s EncryptはInternet Security Research Group(ISRG)が運営し、Mozilla、Google、EFF、Facebookなどが支援しています。
Let’s Encryptの仕組み
Let’s EncryptはACMEプロトコル(Automated Certificate Management Environment、RFC 8555)を使用して証明書発行を自動化します:
- ドメイン所有権を証明 — チャレンジ(HTTP-01またはDNS-01)を完了してドメインの管理を証明
- CSRを送信 — ACMEクライアントが公開鍵を含むCertificate Signing Requestを送信
- 証明書を受け取る — Let’s Encryptが署名して証明書チェーンを返す
- インストールと更新 — 証明書をデプロイ、90日ごとに更新
プロセス全体が自動化されています — メール、書類、支払いは不要です。GetHTTPS、Certbot、acme.shなどのACMEクライアントがプロトコルを処理します。
なぜ無料なのか
Let’s Encryptの使命はHTTPSを普遍的にすることです。収益モデル:
- 主要テクノロジー企業(Google、Mozilla、Meta、Cisco、EFFなど)がスポンサー
- 運営コストが控えめ — ほぼすべてが自動化
- 個別ユーザー向けのサポートスタッフなし — コミュニティフォーラムのみ
- DV証明書のみ発行 — 複雑なID検証を行う必要がない
これは「フリーミアムとしての無料」ではありません。有料プラン、アップセル、有料プランへの誘導を目的とした制限はありません。暗号化はベースラインであるべきで、贅沢品ではないため無料です。
レート制限
Let’s Encryptには不正使用を防ぐレート制限がありますが、正当な使用には十分に寛大です:
| 制限 | 値 | 備考 |
|---|---|---|
| 登録ドメインあたりの証明書 | 週50 | example.comとすべてのサブドメインをカバー |
| 重複証明書 | 週5 | 同一のドメイン名セット |
| 検証失敗 | 1時間あたり5 | アカウントごと、ホスト名ごと |
| 新規登録 | IPあたり3時間で10 | ACMEアカウント作成 |
| 保留中の認可 | アカウントあたり300 | 同時未完了チャレンジ |
テストにはLet’s Encryptのステージング環境を使用してください — はるかに高い制限があり、テスト証明書(ブラウザには信頼されない)を発行します。
Let’s Encryptが提供しないもの
- OV/EV証明書 — ドメイン認証(DV)のみ
- 専用サポート — コミュニティフォーラムのみ
- 保証 — 誤発行に対する金銭的保証なし
- 証明書管理ダッシュボード — それはACMEクライアントの役割
- 90日を超える証明書 — 設計上(短い有効期間は鍵が侵害された場合の露出を制限)
ほとんどのWebサイトでは、これらは不要です。DV証明書はOV/EVと同じ暗号化を提供します。Let’s Encrypt vs 有料SSLの比較を参照。
Let’s Encryptの使い方
Let’s Encryptと直接やり取りすることはありません — ACMEクライアントを使用します:
| クライアント | 仕組み | 最適な用途 |
|---|---|---|
| GetHTTPS | ブラウザベース、インストール不要、鍵はローカル | サーバーアクセスなしでのクイック証明書 |
| Certbot | CLIツール、自動更新、サーバー統合 | root権限のある本番サーバー |
| acme.sh | シェルスクリプト、root不要 | 軽量なCLI代替 |
| Caddy | 組み込みACME、自動HTTPS | Caddy Webサーバーユーザー |
よくある質問
Let’s Encryptは安全ですか?
はい。Let’s Encrypt証明書は有料証明書と同じ暗号標準を使用しています。すべての主要ブラウザとOSに信頼されています。3億以上のアクティブ証明書がWebの重要な部分を保護しています。
なぜ90日の証明書なのですか?
短い有効期間は、秘密鍵が侵害された場合の被害を制限します — 攻撃者は証明書の有効期限まで盗まれた鍵を使用できるだけです。また、手動更新より信頼性の高い自動化を促進します。注意:CA/Browser Forumは2029年までにすべての認証局を47日の有効期間に移行させています。
Let’s Encryptを商用Webサイトに使えますか?
はい。商用利用に制限はありません。Let’s Encrypt証明書は主要企業、SaaS製品、ECサイトに使用されています。ライセンスは使用に制限を課しません。
Let’s Encryptがダウンしたらどうなりますか?
既存の証明書は有効期限まで動作し続けます — 自宅に電話しません。停止中は発行や更新ができないだけです。Let’s Encryptは強力な稼働実績と資金力のあるスポンサーに支えられています。懸念がある場合は、有効期限の十分前(90日中60日目)に証明書を更新しておいてください。
Let’s Encryptはワイルドカード証明書をサポートしていますか?
はい。ワイルドカード証明書(*.example.com)はDNS-01チャレンジ経由でサポートされています。所有権を証明するためにドメインのDNSにTXTレコードを追加する必要があります。
Let’s Encryptの数字
| 指標 | 値 |
|---|---|
| アクティブ証明書 | 3億以上 |
| グローバルCA市場シェア | 63.9% |
| 発行済み証明書合計 | 10億以上 |
| 証明書タイプ | DVのみ |
| 有効期間 | 90日 |
| コスト | 無料 |
| スポンサー | Google、Mozilla、Meta、Cisco、EFF、Akamaiなど |
| 設立 | 2013年(ISRG)、一般公開2016年 |
| プロトコル | ACME(RFC 8555) |
| ルートCA | ISRG Root X1 |
Let’s Encryptを不信する人がいる理由(そしてなぜ間違っているか)
「無料 = 安全性が低い」 — 暗号化強度はTLS仕様で定義され、認証局ではありません。すべての認証局が同じアルゴリズムを使用します。無料 vs 有料の比較 →
「保証なし = リスク」 — CA保証はCAの誤発行エラーをカバーし、サイトがハッキングされた場合ではありません。公に文書化された重要な保証支払いはありません。
「90日証明書 = 不安定」 — 短い有効期間は制限ではなくセキュリティ機能です。自動更新(Certbot)でこれは見えなくなります。
「フィッシングサイトがLet’s Encryptを使用」 — 事実ですが、フィッシングサイトは有料証明書も使用しています。DV証明書はドメイン管理を検証し、サイトの正当性は検証しません。これは設計通りです — 暗号化はサイトの意図に関係なく転送中のデータを保護します。