Let's Encrypt 総合ポータル

Let's Encrypt 最新情報

2016年4月12日 に Let's Encrypt の正式サービスが開始しました。

独自ドメインがあれば、商用利用も可能な SSL/TLS 証明書を無料で取得できます。

Let's Encrypt の導入方法については Let's Encrypt の使い方 をご覧ください。

Let's Encrypt について

Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・更新のプロセスを自動化することにより、TLS や HTTPS(TLSプロトコルによって提供されるセキュアな接続の上でのHTTP通信)を普及させることを目的としているプロジェクトです。

非営利団体の ISRG (Internet Security Research Group) が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しています。

基本方針や運営団体などの詳しい情報については Let's Encrypt の概要 をご覧ください。

Let's Encrypt 総合ポータル コンテンツ一覧

概要 Let's Encrypt の 基本方針技術顧問運営団体 についての解説。
仕組み Let's Encrypt の ドメインの認証証明書の発行と失効手続き のプロセスに関する技術的な仕組みを解説。
Let's Encrypt の使い方 Let's Encrypt の 無料SSL/TLS証明書の導入方法や使い方の解説。
サーバ構築が初めての方にも分かりやすいスクリーンショット付き。
ユーザーガイド Let's Encrypt に関する詳しい情報が掲載されたユーザー向けマニュアル。
User Guide (英文) の全文を和訳した上で、補足説明などを加えたもの。
クライアントのインストール方法、プラグインの使い方、SSL/TLS サーバ証明書の更新方法、SSL/TLS サーバ証明書の保存場所、設定ファイルなど。
コマンド解説 Certbot クライアント(旧・Let's Encrypt クライアント)のコマンド・サブコマンド・オプションの使い方を解説しているコマンドリファレンス。
よくある質問 (FAQ) Let's Encrypt に関するよくある質問と回答。
公式ブログの和訳 Let's Encrypt の最新情報やお知らせなど。
ISRG が運営している Let's Encrypt Official Blog (英文) の和訳。

Let's Encrypt 総合ポータル 更新履歴

ユーザーガイド を更新
Let's Encrypt の使い方CentOS 6 で発生するエラーの対処法 を更新
Certbot クライアントのインストール を追加
ユーザーガイド を更新
公式ブログの和訳Mozilla が Let's Encrypt Root を認証局として信頼 を追加
コマンド解説 (コマンドリファレンス) を追加
Let's Encrypt の対応ブラウザ を更新
Let's Encrypt の使い方CentOS 6 で発生するエラーの対処法 を更新
Let's Encrypt の使い方 を更新(テスト実行 の更新や画像の差し替えなど)
Let's Encrypt の使い方certbot-auto --help の仕様変更について を追加
Let's Encrypt の使い方DVSNI challenge エラーの対処法 を追加
Let's Encrypt の使い方Let's Encrypt ユーザーガイド を更新(名称変更)
Let's Encrypt ユーザーガイド を更新(Debian に訳注を追加)
Let's Encrypt ユーザーガイド を更新(renew オプション の追加など)
Let's Encrypt ユーザーガイド を更新(訳注解説 の追加など)
Let's Encrypt の使い方CentOS 6 で発生するエラーの対処法 を追加
Let's Encrypt の仕組み用語集 を追加
Let's Encrypt の使い方git のインストール (CentOS 6) を追加
よくある質問 (FAQ) を更新
Let's Encrypt の概要 を公開
Webサイト全体のデザインをリニューアル
公式ブログの和訳Let's Encrypt 正式サービス開始と新スポンサー を追加
よくある質問Let's Encrypt の証明書に取得数制限はありますか? を更新
よくある質問Let's Encrypt はワイルドカード証明書も発行しますか? を更新
Let's Encrypt の正式サービス開始に伴い トップページLet's Encrypt の使い方 を更新
Let's Encrypt の使い方 を更新
スマートフォンにおける表示を改善(CSSを修正)
よくある質問Let's Encrypt の証明書に取得数制限はありますか? を追加
よくある質問Webサーバを停止させずに Let's Encrypt の証明書を発行できますか? を追加
よくある質問Let's Encrypt が認証時に使用するIPアドレスは何ですか? を追加
よくある質問ポート80を開放していないWebサーバでも証明書を発行できますか? を追加
よくある質問 の複数の記事を更新(詳細
Let's Encrypt ユーザーガイド を公開
よくある質問 (FAQ) を追加
Let's Encrypt の使い方 を公開ベータプログラムの内容に更新
公式ブログの和訳Let's Encrypt 公開ベータプログラムが始まりました を追加
トップページの Let's Encrypt 最新情報 を更新
トップページの Let's Encrypt 最新情報 を更新
公式ブログの和訳Internet Society が Let's Encrypt のスポンサーに を追加
公式ブログの和訳Let's Encrypt は信頼されています を追加
公式ブログの和訳フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 を追加
公式ブログの和訳証明書の有効期間が90日間な理由 を追加
公式ブログの和訳2015年12月3日に公開ベータプログラムを開始 を追加
トップページを更新
トップページを更新
Let's Encrypt の使い方 を追加
トップページを更新
当サイト「Let's Encrypt 総合ポータル」がオープン
更新

Let's Encrypt の対応ブラウザ

Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書からチェーンできるクロスルート証明書です。IdenTrust 社の証明書(DST Root CA X3)によって、中間証明書「Let's Encrypt Authority X3」、および予備の中間証明書「Let's Encrypt Authority X4」に対するクロス署名が行われています。

そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。

主な対応ブラウザとOS

  • Microsoft Internet Explorer 6 以上 (Windows XP SP3 以上※1、Server 2003 SP2 以上※2)※3
  • Microsoft Edge (Windows 10)
  • Google Chrome (Windows XP SP3 以上※1、Server 2003 SP2 以上※2、OS X 10.4 以上、Linux、Android 2.3.6 以上、iOS 3.1 以上)
  • Mozilla Firefox 2.0 以上 (Windows、OS X、Linux、Android、iOS、Firefox OS)※4
  • Apple Safari 4.0 以上 (OS X 10.4 以上、iOS 3.1 以上)
  • Android ブラウザ (Android 2.3.6 以上)

※1 Windows XP SP3 / Vista / 7 / 8 / 8.1 / 10 に対応(Windows XP 対応についての詳細情報)。

※2 Windows Server 2003 SP2 / 2003 R2 SP2 / 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 に対応。

※3 Windows 98 / ME / XP SP2 以下 / NT 3.51~4.0 上の IE 6 は非対応。
IE 6 のデフォルト設定では SSL 2.0 / SSL 3.0 のみが有効で、TLS 1.0 は無効です(ブラウザの設定変更で有効化可能)。ウェブサーバ側で SSL 3.0 を有効化することは、セキュリティ上の観点から推奨されません。

※4 Firefox が動作すれば OS のバージョンに関係なく対応しています(証明書ストアが Mozilla 独自のため)。

※詳しくは Certificate Compatibility (英文) をご覧ください。

取得可能な SSL/TLS証明書の種類

Let's Encrypt では「ドメイン認証(DV)SSL/TLS証明書」を無料で取得することができます。

「企業認証(OV)証明書」や「EV証明書」は、Let's Encrypt では取得できません。それらの証明書を必要とする場合には、他の認証局やその代理店から有償で購入する必要があります。

それぞれの「SSL/TLSサーバ証明書」の違いは、下記の通りです。

ドメイン認証(DV : Domain Validation)証明書

ドメインの所有者であることを確認して発行するSSL/TLSサーバ証明書です。

企業認証(OV : Organization Validation)証明書

企業や組織の実在性を、第三者データベースや電話などのインターネットを経由しない方法で認証しているSSL/TLSサーバ証明書です。

主にECサイトなどの商用サイトで使用されています。

EV(Extended Validation)証明書

企業の実在性を監査済みの厳格な方法を用いて確認するSSL/TLS証明書です。多くのWebブラウザで、アドレスバーの一部が緑色になり、アドレスバー上にWebサイトの運営組織名が表示されます。

主に銀行や証券会社などの高いセキュリティが要求される商用サイトで使用されています。

当サイトにおける SSL/TLS の仕様と設定について

当サイトは HTTPS 接続に Let's Encrypt の SSL/TLS サーバ証明書を使用しています。

このページが表示されている場合、接続時に証明書に関するエラーが表示された場合を除き、Let's Encrypt 発行の証明書による TLS 暗号化通信が正常に機能しています。

当サイトの SSL/TLS の仕様は、下記の通りです。ただし、各項目の組み合わせには制約があります。

SSL/TLS のバージョン

「TLS 1.0」「TLS 1.1」「TLS 1.2」に対応しています。
仕様上の脆弱性がある「SSL 2.0」と「SSL 3.0」は無効にしています。

認証・鍵共有における署名アルゴリズム

以下の署名アルゴリズムに対応しています。

  • ECDHE-RSA (Forward Secrecy)
  • ECDHE-ECDSA (Forward Secrecy)
  • DHE-RSA (Forward Secrecy)
  • DHE-DSS (Forward Secrecy)
  • RSA

共通鍵暗号の暗号化アルゴリズム

以下のブロック暗号に対応しています。ストリーム暗号「RC4」は、暗号強度が弱いため無効にしています。

  • AES256-GCM (AES, 鍵長・暗号強度256ビット, GCMモード)
  • AES128-GCM (AES, 鍵長・暗号強度128ビット, GCMモード)
  • AES256 (AES, 鍵長・暗号強度256ビット, CBCモード)
  • AES128 (AES, 鍵長・暗号強度128ビット, CBCモード)
  • CAMELLIA256 (CAMELLIA, 鍵長・暗号強度256ビット, CBCモード)
  • CAMELLIA128 (CAMELLIA, 鍵長・暗号強度128ビット, CBCモード)
  • CBC3 (3DES, 鍵長168ビット・暗号強度112ビット, CBCモード)

改竄検出アルゴリズム

以下の改竄検出アルゴリズム(暗号学的ハッシュ関数)に対応しています。

  • HMAC-SHA384 (SHA-2, ダイジェスト長384ビット, TLS 1.2 のみ)
  • HMAC-SHA256 (SHA-2, ダイジェスト長256ビット, TLS 1.2 のみ)
  • HMAC-SHA1 (SHA-1, ダイジェスト長160ビット)

上記の仕様は、当サイトのWebサーバ(Apache)の設定によるものであり、Let's Encrypt の SSL/TLS サーバ証明書の仕様ではありません。

Let's Encrypt の SSL/TLS サーバ証明書を導入したサーバの管理者は、「Apache」「nginx」「IIS」などのWebサーバソフトウェアの設定を変更することで、「SSL/TLS のバージョン」「共通鍵暗号の暗号化アルゴリズム」「改竄検出アルゴリズム」を自由に決めることができます(他社の SSL/TLS サーバ証明書でも同様です)。

※Let's Encrypt 発行のサーバ証明書の署名ハッシュアルゴリズムは SHA-2(SHA-256)に固定されており、変更できません。

SSL/TLS という表記について

SSL は Secure Sockets Layer の略で、TLS は Transport Layer Security の略です。

多くのWebサイトやメディアが TLS(TLS 1.0 以上)にも SSL という名称を用いており、TLS という名称に馴染みのない方がいらっしゃるため、当サイトでは SSL/TLS と併記しています。

プロトコルとしての SSL(SSL 2.0、SSL 3.0)には仕様上の脆弱性がありますので、Apache や nginx などのWebサーバの設定を行う際には、SSL(SSL 2.0、SSL 3.0)での接続は禁止して、TLS(TLS 1.0、TLS 1.1、TLS 1.2)のみに対応させることを推奨します。

スポンサーリンク
Menu
ページトップへ