無料SSL証明書の選び方【2026年版】
無料SSL/TLS証明書は今や個人サイトから業務システムまで広く採用されています。本記事は 「どの無料CAを選び、どう運用すれば失敗しないか」 を、用途別に整理した実践ガイドです。
目次
1. SSL/TLS 証明書の3種類 (DV/OV/EV)
| 種別 | 確認内容 | 発行時間 | 主用途 |
|---|---|---|---|
| DV | ドメイン所有のみ | 数分 | 個人サイト・SaaS・社内 |
| OV | ドメイン + 組織実在 | 数日 | 企業サイト |
| EV | OV + 厳格審査 | 1〜2週 | 金融・大規模EC |
2026年現在、ブラウザ上の EV緑色バー表示は廃止されており、見た目の差はほぼありません。ユーザー視点での暗号化強度はどれも同等です。
2. 主要な無料CAの比較
| CA | 有効期間 | ACME | ワイルドカード | 備考 |
|---|---|---|---|---|
| Let's Encrypt | 90日 | ○ | ○ (DNS-01) | 世界シェア最大。情報量が圧倒的 |
| ZeroSSL | 90日(無料) / 365日(有料) | ○ | 有料プランのみ | Web UIから個別取得可能 |
| Buypass Go SSL | 180日 | ○ | × | ノルウェー発。180日は魅力 |
| Google Trust Services | 90日 | ○ | ○ | Google Cloud 連携が便利 |
結論: 特別な理由がなければ Let's Encrypt。Caddy/Nginx+certbot/Traefik どれもデフォルト対応で、運用ノウハウも蓄積しやすい。
3. ACME による自動化
ACME(Automated Certificate Management Environment)は、証明書の発行・更新を機械的に行うプロトコル。HTTPS時代の事実上の標準です。
3つの認証方式
- HTTP-01 —
/.well-known/acme-challenge/にトークンを配置。最も簡単。 - DNS-01 —
_acme-challengeTXT に値を設定。ワイルドカード対応の唯一の方法。 - TLS-ALPN-01 — TLS ハンドシェイク内で検証。443 のみ開けば良い。Caddy 等が利用。
Caddy の場合 (推奨・最も簡単)
example.com {
reverse_proxy localhost:8080
}
これだけで Let's Encrypt から証明書を取得・自動更新します。TN LABO 自身もこの構成です。
Nginx + certbot の場合
sudo certbot --nginx -d example.com -d www.example.com # /etc/cron.d/certbot に自動更新タスクが入る
4. ワイルドカードと SAN
- ワイルドカード —
*.example.comですべてのサブドメインを1枚でカバー。多サブドメイン構成で必須。DNS-01必要。 - SAN(Subject Alternative Name) — 1枚で複数ドメインをカバー。
example.comとexample.jpをまとめる用途。
5. 商用CAを選ぶべきケース
- OV/EV が 社内ポリシーで必須
- 大規模に複数の証明書を統合管理(統合管理画面・API)
- SLA/サポート(電話・日本語対応)が業務要件
- 金融・公的機関で 監査要件 あり
- EV(法人名表示)を顧客が要求するBtoB
主要商用CA: DigiCert / GlobalSign / Sectigo / GMOグローバルサイン / セコムトラストシステムズ。
6. よくある障害と対策
6-1. 証明書失効の3大原因
- cron 停止 / certbot サービス障害 — 自動更新が動いていない
- HTTP-01 が 80番閉鎖で失敗 — リバプロ変更時の見落とし
- DNS-01 用 API キー失効 — DNSプロバイダのトークン期限切れ
6-2. レート制限
Let's Encrypt: 同一登録ドメインに対し 週20件まで。テスト時は必ず --staging を使用。
6-3. 証明書チェーンの欠落
fullchain.pem ではなく cert.pem だけを設定すると、Android などで「信頼されない」エラー。
7. モニタリングのベストプラクティス
- 残30日アラート — SSL証明書チェック を cron + curl で監視
- 残7日で警告 → 残3日で緊急 の二段構成
- 証明書透明性ログ(CT log) 監視 —
crt.shで意図しない発行を検知 - CAA レコードで 発行可能CAを限定(DNSルックアップ で確認)
example.com. IN CAA 0 issue "letsencrypt.org" example.com. IN CAA 0 iodef "mailto:security@example.com"
8. よくある質問
無料SSLは商用利用できる?
はい。Let's Encrypt をはじめ無料CAは商用利用が公式に認められています。Amazon・Wikipedia 等の大規模サイトも採用しています。
有効期間が短いのは不便では?
むしろメリットです。短い期間 + 自動更新が前提となることで、漏洩時の影響を最小化できます。Apple・Google は2026年以降、最大47日への短縮を推進中。
ロードバランサ配下の複数サーバで証明書を共有したい
(a) ALB/CDN側でTLS終端する、(b) HashiCorp Vault や AWS ACM PCA で集中管理、(c) 各サーバで個別に Let's Encrypt 取得 + DNS-01、のいずれか。TN LABO は (c) + Caddy。
S/MIME(メール暗号化)用の無料証明書はある?
過去はあったが2026年現在、信頼できる無料S/MIMEはほぼ無くなりました。Sectigo等の有料を検討してください。