SSL/TLS証明書とは
SSL/TLS証明書は、Webサイトやメールサーバーの通信を暗号化(HTTPS)し、サーバーの正当性を証明するデジタル証明書です。ブラウザのアドレスバーに表示される鍵マーク(🔒)が、SSL/TLS証明書が有効であることを示しています。
2024年現在、HTTPSはSEOのランキング要因であり、Chromeは非HTTPSサイトに「保護されていない通信」と警告を表示します。SSL/TLS証明書の管理は情シスの基本業務です。
証明書の種類
| 種類 | 認証レベル | 費用 | 発行期間 | 適したサイト |
|---|---|---|---|---|
| DV(ドメイン認証) | ドメインの所有権のみ確認 | 無料〜数千円/年 | 数分〜1時間 | 一般的なWebサイト、社内サイト |
| OV(組織認証) | ドメイン所有権+組織の実在性を確認 | 3〜10万円/年 | 1〜3営業日 | 企業の公式サイト、ECサイト |
| EV(拡張認証) | 最も厳格な審査(登記簿、電話確認等) | 10〜30万円/年 | 1〜2週間 | 金融機関、大手EC |
| ワイルドカード | *.example.comの全サブドメインに対応 | DV: 数千円〜 / OV: 5〜15万円 | 種類による | 複数サブドメインを持つサイト |
💡 中小企業はDV証明書で十分
暗号化の強度はDV/OV/EVで差はありません。OV/EVは「組織の実在性」を証明するだけです。中小企業のコーポレートサイトや社内システムにはDV証明書(Let's Encrypt等)で十分です。
取得方法
| 取得先 | 種類 | 費用 | 特徴 |
|---|---|---|---|
| Let's Encrypt | DV | 無料 | 自動更新対応、有効期限90日 |
| AWS Certificate Manager | DV | 無料(AWS利用時) | AWS環境で自動管理、更新不要 |
| Cloudflare | DV | 無料(CDN利用時) | CDN経由で自動適用 |
| DigiCert / GlobalSign | OV/EV | 3〜30万円/年 | 高信頼性、企業向けサポート |
| さくらインターネット | DV/OV | 990円〜/年 | 日本語サポート、JPRS証明書 |
Let's Encryptの活用
Let's Encryptは無料でDV証明書を発行できる認証局(CA)です。有効期限は90日と短いですが、Certbotを使って自動更新を設定すれば運用負荷はほぼゼロです。
Certbotによる自動更新
- Nginx/Apacheの場合:
certbot --nginxorcertbot --apacheで取得+自動設定 - 自動更新:
certbot renewをcronで毎日実行(有効期限30日前に自動更新) - ワイルドカード:DNS認証を使えばワイルドカード証明書も無料で取得可能
更新管理と自動化
証明書の有効期限切れは、Webサイトの閲覧不可やメール送受信の失敗に直結します。
管理のポイント
- 証明書台帳:全証明書のドメイン、発行元、有効期限、更新担当者をExcel/SharePointで管理
- リマインド設定:有効期限の60日前・30日前・7日前にアラートを設定
- 自動更新の導入:Let's Encrypt + Certbot、ACM、Cloudflareなど自動更新可能なサービスを活用
- 監視ツール:Uptime Robot等のサービスでSSL証明書の有効期限を外部監視
証明書トラブルの防止
- 有効期限切れ:最も多いトラブル。自動更新 or 台帳管理で防止
- 中間証明書の欠落:サーバーに中間証明書をインストールし忘れると、一部ブラウザでエラー。チェーン全体をインストールすること
- 証明書とドメインの不一致:www付きとwwwなしの両方をカバーするSAN(Subject Alternative Name)を設定
- 混在コンテンツ(Mixed Content):HTTPSページ内にHTTPリソースが含まれると警告。全リソースをHTTPS化
まとめ
SSL/TLS証明書は「DV証明書(Let's Encrypt or ACM)で十分 → 自動更新の設定 → 証明書台帳での一元管理 → 監視ツールでの期限監視」で運用します。証明書の期限切れは確実に防止できるトラブルです。自動化と台帳管理で対策しましょう。