Tweet

無料で使えるSSL証明書も、いくつかのパターンで存在します。

無料独自SSL証明書

国内シェア

• JPドメインで使用されている無料証明書のシェア：0.9%以下

発行会社

• Let’s Encrypt
  • サービス主体：Internet Security Research Group  (ISRG)
  • サービス(パブリックベータ)開始：2015年12月4日
  • サービス(正式)開始：2016年4月12日　アナウンス
  • 発行証明書数：約120万証明書(2016年3月17日現在)、現在の発行数
  • 概要
    • 従来のCAとは異なるアプローチ(有効期間は90日、証明書の取得はスクリプト使用が原則、システム的な証明書更新が推奨)がとられおり、使用には注意が必要です
    • Let’s Encryptの注意点
• WoSign Free SSL Certificate
  • サービス主体：WoSign(沃通)、中国の大手証明書発行会社
  • 概要：1 年間有効な証明書(マルチドメインも可能)が無料
    • 無料サービス開始(2015年春)時点では3年間有効だったが1年に短縮される
  • 注意点
    • 発行管理がいい加減であり、サブドメイン管理者に対しベースドメインの証明書を発行していた
      • http://gigazine.net/news/20160901-wosign-fake-certificate/
    • SSHA-1 SSL証明書を発行できなくなることを回避するため、発効日を改ざんして証明書を発行していた
      • https://wiki.mozilla.org/CA:WoSign_Issues#Issue_S:_Backdated_SHA-1_Certs_.28January_2016.29
    • 2016年10月21日以降に取得した証明書はFirefox 51以降で使用できない
      • http://gigazine.net/news/20160928-wosign-firefox-block/
      • http://mozsec-jp.hatenablog.jp/
• StartSSL
  •  サービス主体：StartCOM社 (WoSiginに買収される)
  • 概要：3年間有効な証明書が無料
  • 注意点
    • 発行は無料ですが、失効処理には$25必要。つまり、発行依頼を間違えると（変更には）費用が発生する
    • 2016年10月21日以降に取得した証明書はFirefox 51以降で使用できない
      • http://mozsec-jp.hatenablog.jp/
• CAcert.org
  • サービス主体：CAcert Inc. Association
  • 注意点：ほとんどのブラウザは、CAcert.orgのルート証明書を持っていません。そのため、一般的な利用には向きません（エラーが表示されます）。
•  オープンソースプロジェクト向け
  • いくつかの会社が無料で証明書を発行しています：
    • Free SSL Certificates for Open Source Project
      • サービス主体：GlobalSign社
    • Standard SSL Certificates
      • サービス主体：Godaddy社
      • 注意点：1年間のみ無料
•  トライアル証明書
  • いくつかの会社がトライアル用の証明書を無料で発行しています
    • Cybertrust:30日間
    • GeoTrust:30日間
    • GlobalSigin：45日間
    • Comodo：90日間

ホスティング・ＣＤＮ事業者のSSL証明書

いくつかのホスティングやCDN事業者は、無料で使用できるSSL証明書を用意しています。

Let’s Encrypt

システム的な証明書取得が原則であるLet’s Encryptをホスティングサービスに組み込んだものです。ユーザは、手間なくLet’s Encryptの証明書を利用できます。

• ファーストサーバ社
  • https://zenlogic.jp/option/ssl/letsencrypt.html
• エックスサーバー社
  • https://www.wpx.ne.jp/server/service/ssl.php

Encryption Everywhere

シマンテック社が展開する常時SSL推進プログラムであるEncryption Everywhereの証明書を、ホスティング事業者等がホスティングユーザに無料で提供するものです。

• ファーストサーバ社
  • https://zenlogic.jp/option/ssl/

ワイルドカード証明書

たとえば、user1.stream.ne.jpという配信ドメインの場合、*.stream.ne.jpというワイルドカード証明書を用意していることがあります。ただし、この場合、ホスト名のCNAME変換は使用できず、ホスティング事業者等から発行されたドメインを使用する必要があります（参考:、SSL CDN)。

一般証明書

いくつかのCDN事業者が、そのCDNで使用するという前提で無料証明書を発行しています(上記ワイルドカードでなく、一般の証明書です)。証明書の発行・組み込み等はすべてCDNのバックエンドで実行されます。

• Cloudflare, CloudFlare one-click SSL
  • COMODO/USERTrust証明書、他のユーザを含むマルチドメイン
• Cloudfront, AWS Certificate Manager (ACM)

社内用SSL証明書

社内(イントラネット)用証明書については、自社で発行(無料)するのが一般的です。この場合、ルート証明書を各PCにインストールする必要がありますが、AD環境が整っていれば自動的に配布できます。また、EV証明書を自社発行し、社内サイトをグリーンのURLバーで表示させることも無料でできます。

Tweet