ドメイン番人
SSLWeb 担当者学習

Let's Encrypt は安全?無料 SSL の信頼性を整理

ドメイン番人4 分で読めます
目次

Let's Encrypt と商用 SSL の暗号強度は同じ

この記事でわかること

  • Let's Encrypt の安全性は商用 SSL と同等であること
  • 「無料」の代わりに発生する 2 つの運用負荷
  • 中小企業が Let's Encrypt を選んでよい場面、避けた方がよい場面
  • 導入後に起きやすいトラブル

「無料 = 安全じゃない」は誤解

Let's Encrypt(レッツ・エンクリプト)は、米国の非営利団体 ISRG が運営する無料の SSL 証明書発行サービスです。「無料だから危なそう」と感じる Web 担当者は少なくありませんが、暗号通信の安全性そのものは商用 SSL 証明書とまったく同じです。

具体的には次の点が共通です。

  • 主要ブラウザ(Chrome / Safari / Edge / Firefox)が証明書を信頼する
  • 暗号化の強度(鍵長・アルゴリズム)が同等
  • HTTPS 表示や鍵マークが同じように表示される
  • 国際的な業界基準(CA/Browser Forum の Baseline Requirements)に準拠している

「鍵マークが付いて HTTPS 通信になる」という点では、Let's Encrypt と高額な商用 SSL に違いはありません。SSL の役割そのものはSSL とは|中小企業向けで整理しています。

では何が違うのか

Let's Encrypt と商用 SSL の差は、主に「証明書の認証レベル」と「運用方式」の 2 点です。

Let's Encrypt と商用 SSL の差

違い 1: 証明書の認証レベル(ドメイン名のみ)

Let's Encrypt は DV(ドメイン認証)型の証明書のみを発行します。「このドメインは申請者が管理している」を確認するだけで、組織の実在や法人登記の確認はしません。

これに対し、OV(組織認証)や EV(拡張認証)の商用証明書は、登記簿や電話確認まで含めて組織の実在を保証します。詳しい違いはSSL 証明書の種類と違いを参照。

つまり、Let's Encrypt は通信の安全性は保証しますが、「サイト運営者が誰であるか」までは保証しません。これが「セキュリティが低い」と誤解される理由です。

違い 2: 運用方式(90 日ごとの自動更新前提)

商用 SSL は通常 1 年契約で、年に 1 回手動更新します。Let's Encrypt は最大有効期間が 90 日と短く、自動更新の仕組みを前提としています。

サーバーや CDN が自動更新に対応していれば手間はゼロですが、対応していない場合は 90 日ごとに人手で更新する必要があり、現実的に運用は困難です。

中小企業が選んでよい場面

次のいずれかに当てはまるなら、Let's Encrypt は十分妥当な選択肢です。

  • 自社サイトがコーポレートサイト・サービスサイト・LP 中心
  • 使っているレンタルサーバーや Cloudflare 等が Let's Encrypt の自動更新に対応している
  • 「組織の実在保証」を表に出す必要がない(ECや金融サイトでない)

実際、日本の中小企業の Web サイトの多くは、レンタルサーバー側で Let's Encrypt の自動発行・自動更新が組み込まれており、Web 担当者が意識せずに使っています。

避けた方がよい場面

次のような場面では、商用 SSL の方が無難です。

  • 自社運営の EC サイトでクレジットカード決済を扱う
  • 金融・医療・行政など、組織の実在を強く打ち出したい業態
  • BtoB 向けに「契約先として登記情報を保証する」必要がある場面
  • 自動更新の仕組みを構築・維持できる体制がない(手動運用は事故源)

決済関連は決済代行のセキュリティ要件もあるため、組織側でも OV / EV 証明書を選ぶケースがあります。

導入後に起きやすいトラブル

Let's Encrypt は安全性は十分ですが、運用面の落とし穴があります。

  • 自動更新が止まっていることに気づかない: 90 日後に期限切れで HTTPS が切れる。自動更新の仕組みは入れたが「動いているか」の監視を入れていないケースが多い
  • ワイルドカード証明書の更新方式が DNS-01 のみ: サブドメイン全体に効くワイルドカード証明書を Let's Encrypt で取る場合、DNS の TXT レコードを書き換える方式が必須。レンタルサーバーによっては対応していない。取得手順はLet's Encrypt でワイルドカード証明書を取得する手順で詳しく解説しています
  • サーバー移転・CDN 切替で自動更新が壊れる: 移転時に検証用ファイルの配置場所が変わると更新が失敗する

期限切れの予防策はSSL 証明書 有効期限の確認方法に整理しています。

まとめ

  • Let's Encrypt の暗号通信の安全性は商用 SSL と同等
  • 違いは「組織実在の保証なし」と「90 日ごとの自動更新前提」
  • 中小企業の通常の Web サイトなら Let's Encrypt で十分
  • EC / 金融 / 医療 / 行政では商用 SSL を検討
  • 導入後は「自動更新が動いているか」の監視を必ず入れる

まずは現状を把握しましょう

自社の SSL 証明書の有効期限と設定状況は、ドメイン番人のSSL 単発チェックで確認できます。メール認証も含めた総合点検は無料診断をご利用ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから