Let's Encrypt 最新情報( 更新)
日本時間の 2015年12月4日 午前3時 に、Let's Encrypt 公開ベータプログラム(Public Beta Program)が始まりました。
導入方法については Let's Encrypt の使い方 をご覧ください(公開ベータプログラム対応の最新解説です)。
独自ドメインとWebサーバがあれば、誰でも簡単に Let's Encrypt の SSL/TLS 証明書を取得することができます。
※公開ベータプログラムが開始されたので、Let's Encrypt Beta Participation Request の送信は不要となりました。
Let's Encrypt 総合ポータル コンテンツ一覧
Let's Encrypt の使い方 |
Let's Encrypt の 無料SSL/TLS証明書の導入方法や使い方の解説。 サーバ構築が初めての方にも分かりやすいスクリーンショット付き。 |
---|---|
公式ブログの和訳 |
ISRG が運営している Let's Encrypt 公式ブログ (英文) の日本語訳。 Let's Encrypt の最新情報やお知らせなど。 |
Let's Encrypt とは
Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・更新のプロセスを自動化することにより、TLS や HTTPS(TLSプロトコルによって提供されるセキュアな接続の上でのHTTP通信)を普及させることを目的としているプロジェクトです。
非営利団体の ISRG(Internet Security Research Group)が運営しており、シスコ(Cisco Systems)、Akamai、電子フロンティア財団(Electronic Frontier Foundation)、モジラ財団(Mozilla Foundation)などの大手企業・団体が、ISRG のスポンサーとして Let's Encrypt を支援しています。
Let's Encrypt の「SSL/TLSサーバ証明書」は、独自ドメインの所有者であれば、誰でも簡単に、無料で取得することができ、商用サイトでの使用も可能です。導入方法については Let's Encrypt の使い方 をご覧ください。
※商用サイトでの使用は、Let's Encrypt 公開ベータプログラム(Public Beta Program)の終了後をお勧めします。
Let's Encrypt の対応ブラウザ
Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書からチェーンできるクロスルート (クロスサート) 証明書です。IdenTrust 社の証明書によって、中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名が行われています。
そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。
主な対応ブラウザとOS
- Microsoft Internet Explorer (Windows)
- Google Chrome (Windows、Mac OS X、Linux、Android、iOS)
- Mozilla Firefox (Windows、Mac OS X、Linux、Android、iOS)
- Apple Safari (Mac OS X、iOS)
取得可能な SSL/TLS証明書の種類
Let's Encrypt では、「ドメイン認証 (DV) SSL/TLS証明書」を無料で取得することができます。
「企業認証 (OV) SSL/TLS証明書」や「EV認証 SSL/TLS証明書」は Let's Encrypt では取得できません。それらの証明書を必要とする場合には、他の認証局やその代理店から有償で購入する必要があります。
それぞれの「SSL/TLSサーバ証明書」の違いは、下記の通りです。
ドメイン認証 (DV)
ドメイン認証 (DV : Domain Validation) SSL/TLS証明書は、ドメインの所有者であることを確認して発行するSSL/TLSサーバ証明書です。
企業認証 (OV)
企業認証 (OV : Organization Validation) SSL/TLS証明書は、企業や組織の実在性を、第三者データベースや電話などのインターネットを経由しない方法で認証しているSSL/TLSサーバ証明書です。主にECサイトなどの商用サイトで使用されています。
EV認証
EV (Extended Validation) SSL/TLS証明書は、企業の実在性を監査済みの厳格な方法を用いて確認するSSL/TLS証明書です。多くのWebブラウザで、アドレスバーの一部が緑色になり、またアドレスバー上にWebサイトの運営組織名が表示されます。主に銀行や証券会社などの高いセキュリティが要求される商用サイトで使用されています。
当サイトにおける SSL/TLS の仕様と設定について
当サイトは HTTPS 接続に Let's Encrypt の SSL/TLS サーバ証明書を使用しています。
このページが表示されている場合、接続時に証明書に関するエラーが表示された場合を除き、Let's Encrypt 発行の証明書による TLS 暗号化通信が正常に機能しています。
当サイトの SSL/TLS の仕様は、下記の通りです。ただし、各項目の組み合わせには制約があります。
SSL/TLS のバージョン
「TLS 1.0」「TLS 1.1」「TLS 1.2」に対応しています。
仕様上の脆弱性がある「SSL 2.0」と「SSL 3.0」は無効にしています。
認証・鍵共有における署名アルゴリズム
以下の署名アルゴリズムに対応しています。
- ECDHE-RSA (Forward Secrecy)
- ECDHE-ECDSA (Forward Secrecy)
- DHE-RSA (Forward Secrecy)
- DHE-DSS (Forward Secrecy)
- RSA
共通鍵暗号の暗号化アルゴリズム
以下のブロック暗号に対応しています。ストリーム暗号「RC4」は、暗号強度が弱いため無効にしています。
- AES256-GCM (AES, 鍵長・暗号強度256ビット, GCMモード)
- AES128-GCM (AES, 鍵長・暗号強度128ビット, GCMモード)
- AES256 (AES, 鍵長・暗号強度256ビット, CBCモード)
- AES128 (AES, 鍵長・暗号強度128ビット, CBCモード)
- CAMELLIA256 (CAMELLIA, 鍵長・暗号強度256ビット, CBCモード)
- CAMELLIA128 (CAMELLIA, 鍵長・暗号強度128ビット, CBCモード)
- CBC3 (3DES, 鍵長168ビット・暗号強度112ビット, CBCモード)
改竄検出アルゴリズム
以下の改竄検出アルゴリズム(暗号学的ハッシュ関数)に対応しています。
- HMAC-SHA384 (SHA-2, ダイジェスト長384ビット, TLS 1.2 のみ)
- HMAC-SHA256 (SHA-2, ダイジェスト長256ビット, TLS 1.2 のみ)
- HMAC-SHA1 (SHA-1, ダイジェスト長160ビット)
上記の仕様は、当サイトのWebサーバ(Apache)の設定によるものであり、Let's Encrypt の SSL/TLS サーバ証明書の仕様ではありません。
Let's Encrypt の SSL/TLS サーバ証明書を導入したサーバの管理者は、「Apache」「nginx」「IIS」などのWebサーバソフトウェアの設定を変更することで、「SSL/TLS のバージョン」「共通鍵暗号の暗号化アルゴリズム」「改竄検出アルゴリズム」を自由に決めることができます(他社の SSL/TLS サーバ証明書でも同様です)。
※Let's Encrypt 発行のサーバ証明書の署名ハッシュアルゴリズムは SHA-2(SHA-256)に固定されており、変更できません。
SSL/TLS という表記について
SSL は Secure Sockets Layer の略で、TLS は Transport Layer Security の略です。
多くのWebサイトやメディアが TLS(TLS 1.0 以上)にも SSL という名称を用いており、TLS という名称に馴染みのない方がいらっしゃるため、当サイトでは SSL/TLS と併記しています。
プロトコルとしての SSL(SSL 2.0、SSL 3.0)には仕様上の脆弱性がありますので、Apache や nginx などのWebサーバの設定を行う際には、SSL(SSL 2.0、SSL 3.0)での接続は禁止して、TLS(TLS 1.0、TLS 1.1、TLS 1.2)のみに対応させることを推奨します。
Let's Encrypt 総合ポータル 更新履歴
-
Let's Encrypt の使い方 を公開ベータプログラムの内容に更新
公式ブログの和訳 に Let's Encrypt 公開ベータプログラムが始まりました を追加
トップページの Let's Encrypt 最新情報 を更新 - トップページの Let's Encrypt 最新情報 を更新
- 公式ブログの和訳 に Internet Society が Let's Encrypt のスポンサーになりました を追加
- 公式ブログの和訳 に Let's Encrypt は信頼されています を追加
- 公式ブログの和訳 に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 を追加
-
公式ブログの和訳 に 証明書の有効期間が90日間な理由 を追加
公式ブログの和訳 に 2015年12月3日に公開ベータプログラムを開始 を追加
トップページを更新 -
トップページを更新
Let's Encrypt の使い方 を追加 - トップページを更新
- 当サイト「Let's Encrypt 総合ポータル」がオープン