Let's Encrypt

レート制限

最終更新日: | すべてのドキュメントを見る

Let's Encryptは、できるだけ多くの人が公平に使用できるように、レート制限を提供しています。これらのレート制限は、ほとんどの人にとってデフォルトで十分な高さだと考えています。また、証明書の更新がレート制限に引っかかることはほとんどなく、大規模な組織がLet's Encryptからの介入なしに発行できる証明書の数を徐々に増やすことができるように設計されています。

Let's Encryptクライアントを積極的に開発またはテストしている場合は、本番APIではなく、ステージング環境 を使用してください。Let's Encryptをプロバイダーとして統合する場合、または大規模なウェブサイトで統合する場合は、統合ガイド を参照してください。

レート制限の仕組み

制限は、リクエストごとに、リーキーバケット アルゴリズムを使用して計算されます。このアプローチは、割り当てられたリクエストの使用方法に柔軟性を与えます。バーストでリクエストを行うことも—上限まで—リクエストを分散させて制限されるリスクを回避することもできます。

レート制限に達した場合、一時的にリセットする方法はありません。ご心配なく、その制限に対する容量は時間とともに徐々に補充され、追加の操作を行うことなく、より多くのリクエストを行うことができます。証明書を取り消してもレート制限はリセットされません。これは、これらの証明書を発行するために使用されたリソースが既に消費されているためです。詳細については、レート制限に達した後の再試行 を参照してください。

アカウント登録制限

次の制限は、加入者が新しいアカウントAPIエンドポイントを使用して新しいアカウントをリクエストする場合に適用されます。これらの制限を超えることは非常にまれです。大規模なインテグレーターは、多くの顧客に1つのアカウントを使用する設計 を優先することをお勧めします。

IPアドレスごとの新規登録数

1つのIPアドレスから3時間ごとに最大10個のアカウントを作成できます。新しいアカウントを作成できる機能は、18分ごとに1アカウントの割合で補充されます。

例外

この制限に対する例外は提供していません

IPv6範囲ごとの新規登録数

1つの/48 IPv6サブネットから3時間ごとに最大500個のアカウントを作成できます。新しいアカウントを作成できる機能は、22秒ごとに1アカウントの割合で補充されます。

例外

この制限に対する例外は提供していません

証明書発行制限

次の制限は、加入者が`new-order` APIエンドポイントを使用して新しい証明書をリクエストする場合に適用されます。特に、多くのホスト名の証明書を発行する大規模なホスティングプロバイダーや組織では、これらの制限を超えることはより一般的です。

アカウントごとの新規注文数

Let's Encryptから証明書をリクエストするたびに、新しい注文が作成されます。1つの証明書には最大100個のホスト名を含めることができます。パフォーマンス上の理由から、可能な限り、証明書あたりのホスト名を少なくすることをお勧めします。

制限

1つのアカウントで3時間ごとに最大300個の新しい注文を作成できます。新しい注文を作成できる機能は、36秒ごとに1注文の割合で補充されます。

例外

この制限を超えるには、特定のアカウントの例外をリクエストする必要があります。

登録済みドメインごとの新規証明書数

登録済みドメインとは、一般的に、ドメイン名登録業者から購入したドメインの一部です。たとえば、`www.example.com`の場合、登録済みドメインは`example.com`です。`new.blog.example.co.uk`の場合、登録済みドメインは`example.co.uk`です。パブリックサフィックスリスト を使用して、登録済みドメインを識別します。

制限

7日ごとに登録済みドメインあたり最大50個の証明書を発行できます。これはグローバルな制限であり、どのアカウントが送信するかに関係なく、すべての新規注文リクエストがこの制限にカウントされます。同じ登録済みドメインに新しい証明書を発行できる機能は、202分ごとに1証明書の割合で補充されます。

例外

この制限を超えるには、特定の登録済みドメインまたはアカウントの例外をリクエストする必要があります。

ホスト名の正確なセットごとの新規証明書数

`example.com`と`login.example.com`の証明書をリクエストする場合、「ホスト名の正確なセット」は`[example.com, login.example.com]`です。`example.co.uk`など、ホスト名を1つだけリクエストする場合、ホスト名の正確なセットは`[example.co.uk]`になります。

制限

7日ごとに、ホスト名のまったく同じセットあたり最大5個の証明書を発行できます。これはグローバルな制限であり、どのアカウントが送信するかに関係なく、すべての新規注文リクエストがこの制限にカウントされます。同じホスト名の正確なセットに新しい証明書をリクエストできる機能は、34時間ごとに1証明書の割合で補充されます。

一般的な原因

不明なエラーのトラブルシューティングのためにクライアントを複数回再インストールしたり、アプリケーションを展開するたびにACMEクライアントの構成データを削除したりすることは、この制限に達する一般的な方法です。バグのあるシステムや開発中のソフトウェアが他のレート制限の容量を急速に消費するのを防ぐために、この制限は意図的に比較的低く設定されています。

アプリケーションのテストやトラブルシューティングを行う際には、ステージング環境 を使用するようにクライアントを構成することをお勧めします。この環境には大幅に高い制限があります。

回避策

この制限に達した場合は、`blog.example.com`を追加してホスト名のセットを変更することで、追加の証明書をリクエストできます。これらの新しい注文は更新とは見なされないことに注意してください。したがって、アカウントごとの新規注文数登録済みドメインごとの新規証明書数 のレート制限の対象となります。

例外

この制限に対する例外は提供していません

ホスト名/アカウントあたりの認証失敗数

認証は、注文に含まれる各ホスト名に対して生成されます。証明書を発行する前に、注文内のすべての認証を正常に検証する必要があります。認証に失敗したということは、検証のリクエストは正常に送信されたものの、Let's Encryptによるホスト名の制御の検証のすべての試みが失敗したことを意味します。

制限

1つのアカウントで1時間あたりホスト名ごとに最大5回の認証失敗が発生する可能性があります。認証失敗が発生できる機能は、ホスト名ごとに12分ごとに1回の割合で補充されます。これを超えると、制限がリセットされるまで、同じアカウントによる同じホスト名に対する新しい注文が防止されます。

一般的な原因

トラブルシューティングを開始する前に、クライアントがステージング環境 を使用するように設定することをお勧めします。この環境には大幅に高い制限があり、本番環境の制限を消費することなく、問題を特定して解決するのに役立ちます。

  • `HTTP-01`と`TLS-ALPN-01`メソッドを使用する場合の検証の失敗は、通常、Let's Encryptの検証サーバーがサーバーに到達するのを妨げるネットワークまたはファイアウォールの構成に起因します。

  • `DNS-01`メソッドを使用する場合の検証の失敗は、多くの場合、初期設定プロセスでの手順のミスやタイプミスが原因です。通常、この検証メソッドでは、メインDNSゾーンにCNAMEレコードを作成する必要があり、クライアントが検証プロセス中に必要なDNSレコードを設定できるようにします。

例外

この制限に対する例外は提供していません

更新のレート制限免除

Let's Encryptは、ACME更新情報(ARI)を使用する(すべてのレート制限から免除される推奨方法)と、ホスト名の正確なセットを持つ注文を更新と見なす古い更新検出ロジックに依存する2つの方法で、新しい証明書注文を「更新」として認識します。ただし、特定のレート制限の対象となる可能性があります。

ARI更新

ARIによって調整された更新は、すべてのレート制限から免除されるという独自の利点があります。ARIをサポートするクライアントは、既存の証明書を更新する必要があるかどうかを判断するために、定期的にLet's Encryptサーバーを確認します。最適な更新ウィンドウに達すると、クライアントは、置き換える証明書を明示的に示す新しい注文を要求します。新しい注文に、置き換える証明書と一致するホスト名が少なくとも1つ含まれており、その証明書が以前にARIを使用して置き換えられていない場合、その注文はレート制限の対象となりません。

非ARI更新

クライアントまたはホスティングプロバイダーがまだARIをサポートしていない場合でも、ホスト名のセットが完全に同じ(大文字小文字とホスト名の順序は無視)であれば、注文は以前の証明書の更新とみなすことができます。たとえば、ホスト名[www.example.com, example.com]の証明書をリクエストした場合、[www.example.com, example.com]でさらに4つの証明書をリクエストすることができます。これはホスト名の完全一致セットあたりの新規証明書数のレート制限に達するまで可能です。これらの新しい注文はそれぞれ更新とみなされ、アカウントあたりの新規注文数および登録済みドメインあたりの新規証明書数のレート制限の対象外となります。ただし、ARI更新とは異なり、これらの注文はアカウントあたりのホスト名あたりの認証失敗数およびホスト名の完全一致セットあたりの新規証明書数の対象となります。

レート制限に達した後の再試行

当社のレート制限エラーメッセージはすべて同じ形式に従います。例として

too many new registrations (10) from this IP address in the last 3h0m0s,
retry after 1970-01-01 00:18:15 UTC.

指定された日時以降に同じリクエストを行うと成功するはずです。リクエストが複数の制限の容量を超える場合、最も将来のリセット日が遠い制限のエラーメッセージが常に返されます。

Retry-Afterヘッダー

すべてのレート制限エラーレスポンスには、クライアントが再試行する前に待機する必要がある期間を示すRetry-Afterヘッダーが含まれています。

登録済みドメインに対して発行された証明書の一覧は、公開されているCertificate Transparencyログを使用するcrt.shまたはCensysを検索することで取得できます。

オーバーライドのリクエスト

大規模なホスティングプロバイダーまたはLet's Encrypt統合に取り組んでいる組織である場合、より高いレート制限をリクエストするために使用できるレート制限調整リクエストフォームがあります。リクエストの処理には数週間かかるため、レート制限を独自のリセットよりも早くリセットする必要がある場合、このフォームは適していません。