![Let's Encrypt と商用 SSL の暗号強度は同じ](/blog/lets-encrypt-safety-smb/equivalence.svg) ## この記事でわかること - Let's Encrypt の安全性は商用 SSL と同等であること - 「無料」の代わりに発生する 2 つの運用負荷 - 中小企業が Let's Encrypt を選んでよい場面、避けた方がよい場面 - 導入後に起きやすいトラブル ## 「無料 = 安全じゃない」は誤解 Let's Encrypt(レッツ・エンクリプト)は、米国の非営利団体 ISRG が運営する無料の SSL 証明書発行サービスです。「無料だから危なそう」と感じる Web 担当者は少なくありませんが、暗号通信の安全性そのものは商用 SSL 証明書とまったく同じです。 具体的には次の点が共通です。 - 主要ブラウザ(Chrome / Safari / Edge / Firefox)が証明書を信頼する - 暗号化の強度(鍵長・アルゴリズム)が同等 - HTTPS 表示や鍵マークが同じように表示される - 国際的な業界基準(CA/Browser Forum の Baseline Requirements)に準拠している 「鍵マークが付いて HTTPS 通信になる」という点では、Let's Encrypt と高額な商用 SSL に違いはありません。SSL の役割そのものは[SSL とは|中小企業向け](/blog/ssl-basics-smb)で整理しています。 ## では何が違うのか Let's Encrypt と商用 SSL の差は、主に「証明書の認証レベル」と「運用方式」の 2 点です。 ![Let's Encrypt と商用 SSL の差](/blog/lets-encrypt-safety-smb/differences.svg) ### 違い 1: 証明書の認証レベル(ドメイン名のみ) Let's Encrypt は DV(ドメイン認証)型の証明書のみを発行します。「このドメインは申請者が管理している」を確認するだけで、組織の実在や法人登記の確認はしません。 これに対し、OV(組織認証)や EV(拡張認証)の商用証明書は、登記簿や電話確認まで含めて組織の実在を保証します。詳しい違いは[SSL 証明書の種類と違い](/blog/ssl-certificate-types-dv-ov-ev)を参照。 つまり、Let's Encrypt は通信の安全性は保証しますが、「サイト運営者が誰であるか」までは保証しません。これが「セキュリティが低い」と誤解される理由です。 ### 違い 2: 運用方式(90 日ごとの自動更新前提) 商用 SSL は通常 1 年契約で、年に 1 回手動更新します。Let's Encrypt は最大有効期間が 90 日と短く、自動更新の仕組みを前提としています。 サーバーや CDN が自動更新に対応していれば手間はゼロですが、対応していない場合は 90 日ごとに人手で更新する必要があり、現実的に運用は困難です。 ## 中小企業が選んでよい場面 次のいずれかに当てはまるなら、Let's Encrypt は十分妥当な選択肢です。 - 自社サイトがコーポレートサイト・サービスサイト・LP 中心 - 使っているレンタルサーバーや Cloudflare 等が Let's Encrypt の自動更新に対応している - 「組織の実在保証」を表に出す必要がない(ECや金融サイトでない) 実際、日本の中小企業の Web サイトの多くは、レンタルサーバー側で Let's Encrypt の自動発行・自動更新が組み込まれており、Web 担当者が意識せずに使っています。 ## 避けた方がよい場面 次のような場面では、商用 SSL の方が無難です。 - 自社運営の EC サイトでクレジットカード決済を扱う - 金融・医療・行政など、組織の実在を強く打ち出したい業態 - BtoB 向けに「契約先として登記情報を保証する」必要がある場面 - 自動更新の仕組みを構築・維持できる体制がない(手動運用は事故源) 決済関連は決済代行のセキュリティ要件もあるため、組織側でも OV / EV 証明書を選ぶケースがあります。 ## 導入後に起きやすいトラブル Let's Encrypt は安全性は十分ですが、運用面の落とし穴があります。 - **自動更新が止まっていることに気づかない**: 90 日後に期限切れで HTTPS が切れる。自動更新の仕組みは入れたが「動いているか」の監視を入れていないケースが多い - **ワイルドカード証明書の更新方式が DNS-01 のみ**: サブドメイン全体に効くワイルドカード証明書を Let's Encrypt で取る場合、DNS の TXT レコードを書き換える方式が必須。レンタルサーバーによっては対応していない。取得手順は[Let's Encrypt でワイルドカード証明書を取得する手順](/blog/wildcard-ssl-letsencrypt-howto)で詳しく解説しています - **サーバー移転・CDN 切替で自動更新が壊れる**: 移転時に検証用ファイルの配置場所が変わると更新が失敗する 期限切れの予防策は[SSL 証明書 有効期限の確認方法](/blog/ssl-expiration-check)に整理しています。 ## まとめ - Let's Encrypt の暗号通信の安全性は商用 SSL と同等 - 違いは「組織実在の保証なし」と「90 日ごとの自動更新前提」 - 中小企業の通常の Web サイトなら Let's Encrypt で十分 - EC / 金融 / 医療 / 行政では商用 SSL を検討 - 導入後は「自動更新が動いているか」の監視を必ず入れる ## まずは現状を把握しましょう 自社の SSL 証明書の有効期限と設定状況は、ドメイン番人の[SSL 単発チェック](/ssl/check)で確認できます。メール認証も含めた総合点検は[無料診断](/diagnose)をご利用ください。