用語辞典

Let's Encrypt とは — 無料でHTTPSを自動化する証明書認証局

Let's Encrypt は、無料で TLS/SSL 証明書を発行する公的な認証局（CA）です。ACME という仕組みでドメイン所有を自動確認し、発行も更新も自動化できます。証明書は90日と短命で、自動更新を前提にした設計。仕組み、certbot/Caddy での導入、そして一番多い事故＝更新が止まって失効、を防ぐ運用を防御目線で解説します。

公開日 2026-06-29 更新日 2026-06-29 5分で読める

「HTTPS にしたいけど証明書って高くて面倒そう」——その前提を変えたのが Let's Encrypt です。無料で、しかも発行から更新まで自動化できる仕組みを、防御目線で解説します。

仕組み：ドメイン所有を「自動で」確認する（ACME）

従来の証明書は、申請して、本人確認の書類を出して、発行されるまで待つ——という手作業でした。Let's Encrypt は ACME（Automatic Certificate Management Environment） というプロトコルで、この一連を機械同士のやり取りに置き換えます。

① チャレンジ：CAが「このドメインの管理者なら、指定の場所にこの値を置けるはず」と課題を出す

② 証明：サーバーが Web パス（HTTP-01）か DNS レコード（DNS-01）に値を設置

③ 発行：CAが確認できたら証明書を発行。期限が近づくと②〜③を自動で繰り返す

ACMEの基本：サーバーが『ドメインの管理者である証明』をその場で提示し、自動で証明書を受け取る。

ポイントは、確認するのが**「ドメインの管理権」だけ**（ドメイン認証＝DV）だということ。企業の実在性までは確認しないので、手続きが軽く、完全に自動化できます。暗号化そのものの強度は有料証明書と変わりません。

90日の短命さは「自動更新の強制」

Let's Encrypt の証明書は有効期限が90日です。短いのには理由があります。

鍵漏えいの被害を短く区切る

万一サーバーの秘密鍵が漏れても、証明書が短命なら悪用できる窓が狭くなります。失効処理が間に合わなくても、自然に期限切れになります。

自動更新を“当たり前”にする

90日では手動更新は現実的でないため、運用者は自動化せざるを得ません。これが業界全体を「証明書は自動で回すもの」へ押し上げました。実際、更新ツールは期限の約30日前から自動で更新を試みます。

だから運用の肝は“監視”

自動更新は、cron が壊れた・権限が変わった・ドメインの確認が通らなくなった、で静かに止まります。止まったことに気づかないまま90日が過ぎると失効します。更新の成否と残り日数を監視しておくのが防御の本筋です。

当サイトの視点：証明書を意識しない運用（自動TLS）

当サイトは Caddy という Web サーバーで動いており、ドメインを向けるだけで Let's Encrypt の証明書を自動発行・自動更新しています（設定ファイルに証明書の話はほぼ書きません）。「証明書を意識しなくていい状態」が理想で、人が手で触る箇所が少ないほど、入れ替え忘れによる失効事故は起きません。逆に、certbot を cron で回す構成なら、その cron が動いているかまで含めて“仕組みで”見張るのが安全です。

一番多い事故：更新が止まって「失効」

HTTPS まわりで現場が最も踏むのは、攻撃ではなく証明書の失効です。失効するとブラウザが大きな警告を出し、利用者はほぼ確実に離脱します。原因は「更新の自動化が壊れていたのに気づかなかった」がほとんど。

だからこそ、自分のサイトの証明書の有効期限を定期的に見る仕組みを持つべきです。当サイトのサイト総合セキュリティ診断は、所有を確認したあなたのサイトの TLS 証明書（残り日数・失効・古いプロトコル）を他の項目とまとめて点検します。証明書の更新を自動化したうえで、その自動化が生きているかを外から確かめる——この二段構えが、失効事故をほぼ確実に防ぎます。

次に読む

事故から学ぶ：Heartbleed 事件（TLS/OpenSSL の脆弱性が世界中の鍵を脅かした）
自分のサイトを点検：サイト総合セキュリティ診断（TLS証明書・ヘッダ・公開ファイルを一括チェック）
土台を固める：個人開発のセキュリティ最低限チェックリスト

よくある質問

QLet's Encrypt の証明書は本当に無料で、有料の証明書と何が違いますか？

発行・更新ともに無料です。Let's Encrypt はドメイン認証（DV）のみを行い、『このドメインを管理している人か』だけを自動で確認します。暗号化の強さは有料証明書と同じで、ブラウザの鍵マークも同じように表示されます。違いは、企業の実在性を確認する OV/EV の手続きが無いことと、保証（warranty）が付かないことです。個人サイトや小規模サービスの HTTPS 化には、無料の DV 証明書で十分なケースがほとんどです。

Q証明書の有効期限が90日と短いのはなぜですか？短いと困りませんか？

短いのは弱点ではなく設計です。万一秘密鍵が漏れても悪用できる期間を短く区切れること、そして『自動更新が当たり前』の文化を強制できることが狙いです。困らないために、更新は自動化します（多くのツールが期限の30日前から自動で更新します）。手動で年1回入れ替える運用こそ、入れ替えを忘れて失効する事故の温床です。

Q導入にはどんなツールを使いますか？

代表的なのは certbot（Apache/Nginx 向けに広く使われる）と Caddy（設定なしで自動的に HTTPS 化・自動更新まで行う Web サーバー）です。ほかに acme.sh や Traefik なども ACME に対応しています。ワイルドカード証明書（*.example.com）が必要なら、DNS-01 という方式で DNS レコードに確認用の値を置いて取得します。