最終更新日: | すべてのドキュメントを見る
このFAQは、以下のセクションに分けられています。
一般的な質問
Let’s Encryptは何を提供していますか?
Let’s Encryptはグローバル認証局(CA)です。世界中の人々や組織がSSL/TLS証明書を取得、更新、管理できるようにしています。当社の証明書は、ウェブサイトで安全なHTTPS接続を有効にするために使用できます。
Let’s Encryptはドメイン検証(DV)証明書を提供しています。組織検証(OV)や拡張検証(EV)は、主にそれらのタイプの証明書を自動発行できないため提供していません。
Let’s Encryptの使用を開始するには、はじめにページをご覧ください。
Let’s Encryptの使用にかかる費用は?本当に無料ですか?
証明書には料金を請求しません。Let’s Encryptは非営利団体であり、HTTPSの普及を促進することにより、より安全でプライバシーを尊重するWebを作成することを使命としています。すべてのウェブサイトがHTTPSを展開できるように、当社のサービスは無料で簡単に使用できます。
世界中で無料でサービスを提供するには、寛大なスポンサー、助成団体、個人のサポートが必要です。サポートにご興味のある方は、寄付またはスポンサーになることをご検討ください。
場合によっては、インテグレーター(例:ホスティングプロバイダー)が、Let’s Encrypt証明書を提供するために発生する管理コストを反映したわずかな料金を請求する場合があります。
どのようなサポートを提供していますか?
Let’s Encryptは小規模なチームによって運営されており、コスト削減のために自動化に依存しています。そのため、加入者への直接サポートを提供することはできません。しかし、優れたサポートオプションがいくつかあります。
- 非常に役立つドキュメントがあります。
- 非常にアクティブで役立つコミュニティサポートフォーラムがあります。コミュニティのメンバーは質問に答えることに尽力しており、最もよくある質問の多くは既に回答されています。
優れたコミュニティサポートの力について、気に入っているビデオをご紹介します。
Let’s Encryptを使用しているウェブサイトがフィッシング/マルウェア/詐欺などに関連している場合、どうすればよいですか?
そのようなサイトをGoogleセーフブラウジングとMicrosoft SmartScreenプログラムに報告することをお勧めします。これらは、ユーザーをより効果的に保護できます。報告用URLは次のとおりです。
- https://safebrowsing.google.com/safebrowsing/report_badware/
- https://www.microsoft.com/en-us/wdsi/support/report-unsafe-site-guest
当社のポリシーと根拠の詳細については、こちらをご覧ください。
https://letsencrypt.dokyumento.jp/2015/10/29/phishing-and-malware.html
技術的な質問
Let’s Encryptの証明書は、私のブラウザで信頼されていますか?
ほとんどのブラウザとオペレーティングシステムでは、はい。詳細については、互換性リストをご覧ください。
Let’s Encryptは、ウェブサイトのSSL/TLS以外のものに対して証明書を発行しますか?
Let’s Encryptの証明書は標準的なドメイン検証証明書であるため、Webサーバー、メールサーバー、FTPサーバーなど、ドメイン名を使用するサーバーであればどれでも使用できます。
メールの暗号化とコードの署名には、Let’s Encryptが発行しない異なる種類の証明書が必要です。
Let’s Encryptは、私の証明書の秘密鍵をLet’s Encryptのサーバーで生成または保存しますか?
いいえ。決して。
秘密鍵は常に、Let’s Encrypt認証局ではなく、あなた自身のサーバーで生成および管理されます。
Let’s Encrypt証明書の有効期間は?どのくらいの期間有効ですか?
当社の証明書の有効期間は90日間です。その理由についてはこちらをご覧ください。
これを調整する方法はありません。例外はありません。60日ごとに証明書を自動的に更新することをお勧めします。
Let’s Encryptは、組織検証(OV)または拡張検証(EV)証明書を発行しますか?
OVまたはEV証明書を発行する予定はありません。
複数のドメイン名(SAN証明書またはUCC証明書)の証明書を取得できますか?
はい、同じ証明書に、サブジェクト代替名(SAN)メカニズムを使用して複数の異なる名前を含めることができます。
Let’s Encryptはワイルドカード証明書を発行しますか?
はい。ワイルドカードの発行は、DNS-01チャレンジを使用してACMEv2を介して行う必要があります。より技術的な情報については、この投稿をご覧ください。
私のオペレーティングシステム用のLet’s Encrypt(ACME)クライアントはありますか?
多くのACMEクライアントがあります。あなたのオペレーティングシステムでうまく動作するものが存在する可能性が高いです。 Certbotから始めることをお勧めします。
既存の秘密鍵または証明書署名要求(CSR)を使用できますか?
はい、ただし、すべてのクライアントがこの機能をサポートしているわけではありません。Certbotはサポートしています。
証明書を要求したところ、私のドメインに大量のトラフィックが流れています!なぜですか?
これは正常で予想されることです。証明書の発行プロセス中に、Let’s Encryptは複数のネットワーク視点からドメインの制御を検証します。検証が成功すると、証明書は多数の証明書透明性(CT)ログに送信されます。これが必要な理由の詳細については、こちらをご覧ください。証明書がCTに送信された直後、自動化されたCTクロールボットがドメインを検出し、アクセスを試み、Webサーバーログにさらにトラフィックを生成します。
Let’s Encryptは、私のWebサーバーの検証にどのIPアドレスを使用していますか?
検証に使用しているIPアドレスのリストは公開しておらず、これらのIPアドレスはいつでも変更される可能性があります。現在、複数のIPアドレスから検証していることに注意してください。
証明書を正常に更新しましたが、今回は検証が行われませんでした。これはなぜですか?
ドメインのチャレンジを正常に完了すると、その結果生じる承認は、後で再度使用するためにアカウントにキャッシュされます。キャッシュされた承認は、検証時から30日間有効です。要求した証明書に必要な承認がすべてキャッシュされている場合、関連するキャッシュされた承認が期限切れになるまで、検証は再び行われません。
Let’s Encrypt(ACME)クライアントをランダムな時間に実行する必要があるのはなぜですか?
1日の特定の時間(例:協定世界時(UTC)の真夜中、または各時間または分の最初の秒)にトラフィックの急増を回避するために、ACMEクライアントはランダムな時間に定期的な更新を実行する必要があります。サービスがビジー状態の場合、クライアントは後で再試行するように求められるため、更新時間をランダム化することで、不要な再試行を回避できます。
TLS/SSLとPKI全般についてさらに学習できる場所は?
長年のセキュリティ研究者兼実務家であるIvan Ristićは、TLS構成を設定する際に考慮すべき事項に関する情報を提供する構成ガイドを公開しました。
より広範な背景と詳細については、Ristićによって書かれたBulletproof TLS and PKIをお勧めします。