よくある質問
このページは、Let's Encrypt Frequently Asked Questions (FAQ) の全文を和訳(意訳)した上で、補足説明などを加えたものです。詳しくは 翻訳記事の出典と留意事項 をご覧ください。
よくある質問の更新履歴
- 2016年03月06日
-
- Let's Encrypt の証明書に取得数制限はありますか? を追加しました。
- Webサーバを停止させずに Let's Encrypt の証明書を発行できますか? を追加しました。
- Let's Encrypt が認証時に使用するIPアドレスは何ですか? を追加しました。
- ポート80を開放していないWebサーバでも証明書を発行できますか? を追加しました。
- Let's Encrypt の証明書発行時(証明書の更新を含む)の認証プロセスは、DNSのAレコードで指定されたIPアドレスに Let's Encrypt のサーバからアクセスすることによって行われるため、「ドメイン所有者の認証プロセス」という表現を「ドメイン・サブドメイン使用権者の認証プロセス」に修正しました。
- Let's Encrypt の証明書はブラウザで信頼済みとして扱われますか? において、日本語として不自然な表現を修正し、主な対応ブラウザとOS を追加しました。
- Let's Encrypt の証明書はWebサーバ以外でも使えますか? の補足説明を修正し、ドメイン・サブドメイン使用権者の認証プロセスにおいて TCP Port 80(HTTP)ではなく TCP Port 443(HTTPS)を使用する方法についての説明を追加しました。また、分かりやすい表現へ変更と、冗長な表現の削除・誤字の修正を行いました。
- なぜ、Let's Encrypt クライアントは root権限を要求するのですか? に Manual プラグイン へのリンクを追加しました。
- 2016年04月18日
-
- Let's Encrypt の証明書に取得数制限はありますか? を最新のレート制限へのリンクに変更しました。
- Let's Encrypt はワイルドカード証明書も発行しますか? を更新しました。
- 2016年04月26日
-
- Windows XP との互換性向上に伴い Let's Encrypt の証明書はブラウザで信頼済みとして扱われますか? を更新しました。
- Let's Encrypt の証明書はいつ取得できますか? を更新しました。
- 2016年06月08日
- 2017年07月07日
-
- 1枚で複数のドメイン名に対応する証明書は発行できますか? を更新しました。
- Let's Encrypt はワイルドカード証明書も発行しますか? を更新しました。
- 2018年03月15日
-
- Let's Encrypt はワイルドカード証明書も発行しますか? を更新しました。
Let's Encrypt の証明書はブラウザで信頼済みとして扱われますか?
端的に答えると「イエス」です。
詳しく述べると、Let's Encrypt の中間証明書は、広く信頼されている米大手認証局(CA)である IdenTrust のルート証明書によってクロス署名されています。
これにより、IdenTrust のルート証明書からチェーンされている限り、Let's Encrypt の証明書は「信頼された証明書」として扱われます。そのため、IdenTrust のルート証明書を信頼しているほぼ全てのプラットフォームでは、Let's Encrypt の証明書は「信頼された証明書」となります。
ただし、Windows XP は例外 (英文) で、今のところ Let's Encrypt の中間証明書を受け入れていません。
過去に使用されていた中間証明書「Let's Encrypt Authority X1」と、予備の中間証明書「Let's Encrypt Authority X2」は Windows XP との互換性がありませんでした。
2016年03月25日以降は、Windows XP との互換性が高い中間証明書「Let's Encrypt Authority X3」、および予備の中間証明書「Let's Encrypt Authority X4」が使用されています。
主な対応ブラウザとOS(補足)
- Microsoft Internet Explorer 6 以上 (Windows XP SP3 以上※1、Server 2003 SP2 以上※2)※3
- Microsoft Edge (Windows 10)
- Google Chrome (Windows XP SP3 以上※1、Server 2003 SP2 以上※2、OS X 10.4 以上、Linux、Android 2.3.6 以上、iOS 3.1 以上)
- Mozilla Firefox 2.0 以上 (Windows、OS X、Linux、Android、iOS、Firefox OS)※4
- Apple Safari 4.0 以上 (OS X 10.4 以上、iOS 3.1 以上)
- Android ブラウザ (Android 2.3.6 以上)
※1 Windows XP SP3 / Vista / 7 / 8 / 8.1 / 10 に対応。
※2 Windows Server 2003 SP2 / 2003 R2 SP2 / 2008 / 2008 R2 / 2012 / 2012 R2 / 2016 に対応。
※3 Windows 98 / ME / XP SP2 以下 / NT 3.51~4.0 上の IE 6 は非対応。
IE 6 のデフォルト設定では SSL 2.0 / SSL 3.0 のみが有効で、TLS 1.0 は無効です(ブラウザの設定変更で有効化可能)。ウェブサーバ側で SSL 3.0 を有効化することは、セキュリティ上の観点から推奨されません。
※4 Firefox が動作すれば OS のバージョンに関係なく対応しています(証明書ストアが Mozilla 独自のため)。
※詳しくは Certificate Compatibility (英文) をご覧ください。
Let's Encrypt の証明書はいつ取得できますか?
今すぐに取得できます。
公式クライアントソフトウェアをインストールすることで、Let's Encrypt の証明書を取得することが可能です。
※証明書の取得方法については、Let's Encrypt の使い方(当サイトの記事)で解説しています。
Let's Encrypt の証明書はWebサーバ以外でも使えますか?
Let's Encrypt 発行の証明書は、標準的なドメイン認証(DV)証明書です。
Webサーバのようにドメイン名を使用しているサーバであれば、どのような種類のサーバでも使用可能です。
※Let's Encrypt 発行のサーバ証明書は、メールサーバ(サーバ証明書をインストールするサーバ)と、ユーザーが使用するメーラー(Mozilla Thunderbird、Becky! Internet Mail、秀丸メールなどの MUA)間において、メール送受信時の通信を暗号化する用途(SMTP over TLS、POP3 over TLS、IMAP over TLS または STARTTLS)にも使用できます。
※Let's Encrypt が発行する証明書は、クライアント証明書(一般ユーザー向けの証明書)ではなくサーバ証明書(サーバ管理者向けの証明書)であるため、ユーザーがメーラー(MUA)にインストールして使用することはできません。
※メールサーバにインストールする目的で Let's Encrypt の証明書を発行する場合であっても、証明書の発行時(証明書の更新時を含む)のドメイン・サブドメイン使用権者の認証プロセスでは、Webサーバ用のポートである TCP Port 80 または TCP Port 443 を使用します。TCP Port 80(HTTP)ではなく TCP Port 443(HTTPS)で認証したい場合には Standalone プラグイン において、コマンドラインオプション --standalone-supported-challenges tls-sni-01
を指定します。
Let's Encrypt の証明書はコードサイニングや S/MIME にも使えますか?
使えません。
プログラムファイル(Windows の exeファイルなど)の署名に使用するコードサイニング証明書や、メール本文の暗号化に使用する S/MIME 用の証明書は、Let's Encrypt が発行する証明書とは異なる種類の証明書です。
※Let's Encrypt 発行の証明書を、メールサーバにインストールする証明書として使用することは可能です。
詳しくは Let's Encrypt の証明書はWebサーバ以外でも使えますか? をご覧ください。
Let's Encrypt のサーバ上で秘密鍵が生成・保管されることはありますか?
いいえ。
秘密鍵は、Let's Encrypt クライアントプログラムを実行したコンピュータ上で生成・管理されます。
Let's Encrypt の認証局が、秘密鍵を生成したり保管したりすることは、決してありません。
※認証局は公開鍵に対して署名を行いサーバ証明書を発行します。認証局に秘密鍵が送信されることはありません。
Let's Encrypt は EV証明書も発行しますか?
今のところ、Let's Encrypt が EV(Extended Validation)SSL/TLS証明書を発行する予定はありません。
※EV証明書は、取得団体(企業など)の法的実体の確認などが厳格に行われる証明書で、主に銀行や証券会社などの高いセキュリティが要求される商用サイトで使用されています。多くのWebブラウザにおいて、EV証明書のWebサイトにアクセスすると、アドレスバーの一部が緑色になりアドレスバー上にWebサイトの運営組織名が表示されるなど、DV 証明書とは明確に区別されて安全な証明書として扱われます。
1枚で複数のドメイン名に対応する証明書は発行できますか?
はい。サブジェクトの代替名(SAN : Subject Alternative Name)という仕組みを使用することで、1枚の SSL/TLS サーバ証明書を、複数の異なるドメイン名・サブドメイン名で使用することが可能です。
Certbot クライアントの証明書取得コマンド実行時に、複数のドメイン名・サブドメイン名を指定することで、複数ドメイン名・サブドメイン名に対応した証明書を取得することができます。
Webブラウザは、Webサイトのドメイン名・サブドメイン名がサブジェクトの代替名(SAN : Subject Alternative Name)のリストに掲載されていれば、正当な証明書として受け付けます。
詳しくは 証明書取得コマンドの実行 をご覧ください。
Let's Encrypt はワイルドカード証明書も発行しますか?
2018年03月13日に、ワイルドカード証明書の発行が開始されました。
詳しくは下記のページをご覧ください。
なお、複数のサブドメイン名に対して有効な証明書 は、現在も引き続き取得可能です。
Let's Encrypt クライアントはどの OS に対応していますか?
Let's Encrypt クライアントソフトウェアは、主要な Linux / BSD ディストリビューションに対応しています。
また、Windows(PowerShell)にも対応させたいと考えています。
Let's Encrypt クライアントで Webサーバの設定を自動的に行えますか?
Let's Encrypt クライアントソフトウェアで、最近のバージョンの Apache や Nginx の設定を自動的に行えるようにするつもりです。また、Windows の IIS の設定も自動的に行えるようにしたいと考えています。
サーバの設定が自動的に行えるようになると、SSL/TLS サーバ証明書の取得・導入・自動更新が素早く簡単にできるようになります。
Webサーバの設定の自動化がサポートされていない段階であっても、Let's Encrypt クライアントソフトウェアで SSL/TLS サーバ証明書を取得した後、Webサーバの設定を手動で行うことで、Webサーバで Let's Encrypt の SSL/TLS サーバ証明書を使用できます。
この場合、SSL/TLS サーバ証明書の更新が自動的に行われることはありません。
Webサーバの自動設定機能の使用は、必須ではありません。
サーバソフトウェアを自分で設定したい場合には、Webサーバの自動設定機能を使用する必要はありません。
なぜ、Let's Encrypt クライアントは root権限を要求するのですか?
Let's Encrypt クライアントは、基本的には OS のシステムコンポーネントです。
一般的に、ポート 443 をバインドするには root 権限が必要です。また、Webサーバの設定を自動化する場合には、証明書をインストールしたり更新したりするのにも root 権限が必要です。
特殊な OS のためのパッケージを作る際には、低い権限で動作するように構成してもよいかもしれません。
また、Manual プラグイン を使用することで、Let's Encrypt クライアントに root 権限を与えなくても、ドメイン・サブドメイン使用権者の認証プロセスと証明書の入手を行うことが可能です。
既存の秘密鍵や署名リクエスト(CSR)を使うことはできますか?
はい、可能です。
特に希望する場合には、Let's Encrypt クライアントソフトウェア以外で作成した既存の秘密鍵や署名リクエスト(CSR)を使って、Let's Encrypt の SSL/TLS サーバ証明書を取得することができます。
ただし、秘密鍵の種類やサイズが適合している必要があります。
※Let's Encrypt クライアントソフトウェアを実行する際にオプションで明示的に指定しない限り、鍵ペア(秘密鍵と公開鍵)や署名リクエスト(CSR)は自動的に作成されます。
Let's Encrypt の証明書に取得数制限はありますか?
あります。
最新の Let's Encrypt のサーバ証明書の取得数の制限(一定期間内の取得間隔の制限)は Limits on usage (Getting Started) および Rate Limits for Let’s Encrypt から確認できます。
Webサーバを停止させずに Let's Encrypt の証明書を発行できますか?
可能です。
ACME プロトコル は、ダウンタイム無しでサーバの認証を行えるように設計されています。
Let's Encrypt クライアントの Webroot プラグイン を使用し、ドメイン・サブドメイン使用権者の認証用のファイルをドキュメントルートディレクトリ以下に設置することで、Webサーバを停止させずに Let's Encrypt の証明書を発行することができます。
また、Apache プラグイン を使用する方法もあります。この場合、認証のために一時的に使用される自己署名証明書が構成され、Apache がリロードされます。
Let's Encrypt が認証時に使用するIPアドレスは何ですか?
Let's Encrypt では、サーバの認証(ドメイン・サブドメイン使用権者の認証のためのWebサーバへの接続)に使用するIPアドレスのリストを公開していません。これは、使用されるIPアドレスが随時変更される可能性があるためです。
また、将来的には、一回の認証プロセスにおいて、複数のIPアドレスから接続するようになるかもしれません。
ポート80を開放していないWebサーバでも証明書を発行できますか?
はい、Standalone プラグインの TLS-SNI-01 Challenge を使用することで可能です。
Webroot プラグイン を使用する場合には、Webサーバが TCP Port 80 への接続を受け入れる必要があります。
- スポンサーリンク
翻訳記事の出典と留意事項
この「よくある質問」は、英語で公開されている情報を和訳したものです。