• Let's Encrypt から発行された証明書は、私のブラウザで信頼されていますか?

    ほとんどのブラウザとオペレーティングシステムでは、はい。詳細は互換性リストをご覧ください。

  • Certbot は、ウェブサイトの SSL/TLS 以外の用途で証明書を発行しますか?

    Certbot は、標準的なドメイン検証証明書である Let's Encrypt 証明書を取得します。そのため、ドメイン名を使用するサーバー(ウェブサーバーなど)であれば、どのサーバーでも使用できます。これらの証明書は、IMAPS などの他の TLS アプリケーションにも使用できます。

  • Certbot から発行された証明書を、コード署名やメール暗号化に使用できますか?

    いいえ。メール暗号化とコード署名には、Let's Encrypt CA が発行しているものとは異なる種類の証明書が必要です。

  • Certbot は、Let's Encrypt のサーバー上に、証明書の秘密鍵を生成または保管しますか?

    いいえ。決して。

    秘密鍵は常に、Let's Encrypt 認証局ではなく、お客様自身のサーバーで生成および管理されます。

  • Certbot は、拡張検証 (EV) 証明書を発行しますか?

    現時点では、Certbot と Let's Encrypt は EV 証明書を発行する予定はありません。

  • 複数のドメイン名 (SAN 証明書) の証明書を取得できますか?

    はい。同じ証明書を、Subject Alternative Name (SAN) メカニズムを使用して、複数の異なる名前に適用できます。Certbot は、要求された場合に、複数の名前の証明書を自動的に要求します。結果として得られる証明書は、そこにリストされているドメイン名のいずれについても、ブラウザで受け入れられます。

  • Let's Encrypt はワイルドカード証明書を発行しますか?

    はい!Let's Encrypt はワイルドカード証明書の発行を開始しました(2018年3月)。Certbot はバージョン 0.22.0 からワイルドカード証明書をサポートしています。ワイルドカード証明書を取得するには、DNS 認証方法を使用する必要があります。これは、`--manual` を使用するか、DNS プロバイダーに適した Certbot DNS プラグインを使用することで行います。

    Certbot のインストール方法によっては、プロセスを自動化する適切なプラグインがシステムでまだ利用できない場合があります。DNS プラグインに関する情報は、Certbot のドキュメントにあります。

    `--manual` で取得した証明書は、`certbot renew` を使用して自動的に更新できません(カスタム承認スクリプトを提供した場合を除く)。ただし、Certbot DNS プラグインを使用して取得した証明書は自動的に更新できます。人的介入なしで更新できるワイルドカード証明書を取得するには、DNS プロバイダーがサポートする API と互換性のある Certbot DNS プラグイン、または要求に応じて適切な DNS レコードの変更を行うことができるスクリプトを使用する必要があります。通常の DNS プロバイダーが互換性のある更新メカニズムをサポートしていない場合でも、DNS ゾーン内の `_acme-challenge` レコードの `CNAME` 委任を、サポートしている別のプロバイダーに設定できます。`_acme-challenge` を acme-dns インスタンスにポイントすることもできます。

    Certbot のインストール方法によっては、プロセスを自動化する適切なプラグインがシステムでまだ利用できない場合があります

    詳細については、Certbot のドキュメントを参照してください。

  • Certbot は私のオペレーティングシステムをサポートしていますか?

    現在、主要な Linux および BSD 系オペレーティングシステムで Certbot をサポートしています。他にも多数のクライアント実装があります。

  • Certbot は、私のウェブサーバーの自動構成をサポートしますか?

    このウェブサイトでは、さまざまなウェブサーバーとオペレーティングシステムのサポートレベルに関する情報を提供しており、これは時間とともに変化し、増加しています。サポートされているシステムでは、自動構成により、証明書の取得、インストール、および自動更新が迅速かつ容易になります。

    ウェブサーバーで自動構成がサポートされていない場合でも、Certbot を使用して証明書を取得し、サーバーソフトウェアを手動で構成できます。この場合、証明書は自動的に更新されません。

    自動構成は必須ではありません。自分でサーバーソフトウェアを構成する場合は、無効にすることができます。

  • Certbot は、root/管理者権限を必要としますか?

    root 権限が Certbot の実行に必要かどうかは、使用方法によって異なります。

    root アクセス権を付与しないホスティングプロバイダーを使用しているためにこの質問をしている場合、まず、証明書を取得した場合に証明書をインストールする方法があることを確認する必要があります。「いいえ」の場合は、ホスティングプロバイダーに Let's Encrypt のサポートを依頼してください(多くのプロバイダーが既にサポートしています)。「はい」の場合、またはセキュリティ上の理由で質問をしている場合は、読み進めてください…

    webrootプラグインとmanualプラグインは、root 権限なしでも正常に動作します。ただし、Certbot の作業ディレクトリに書き込み可能なパスを提供する必要があります。そのためには、`etc/letsencrypt/`、`var/log/letsencrypt/`、`var/lib/letsencrypt/` が書き込み可能であることを確認するか、`--config-dir`、`--logs-dir`、`--work-dir` フラグを使用して別のディレクトリを選択します。

    standaloneプラグインは、ポート 80 または 443 をバインドするために root 権限が必要です。ただし、Linux では、関連するユーザーにCAP_NET_BIND_SERVICEを付与することもできます。

    Certbot の Apache および Nginx プラグインは通常、ウェブサーバーの設定に一時的および永続的な変更を加えるため、およびこれらのサーバーのグレースフルリロードイベントを実行するために、root 権限が必要です。

    `certbot-auto` スクリプトは、必要な場合に OS の依存関係をインストールするため、および上記のすべてのプラグインをサポートする必要があるため、root 権限が使用されると想定して動作します。Certbot のパッケージ版はより柔軟性があり、これらのパッケージを構築しているチームの中には、可能な限りグループ権限ではなく root 権限で Cerbot を実行できるように取り組んでいるチームもあります。

  • 既存の秘密鍵または証明書署名要求 (CSR) を Certbot と一緒に使用できますか?

    はい。既存の CSR の証明書を取得できます。つまり、独自の秘密鍵を使用して独自の CSR を生成できます。ただし、Certbot は秘密鍵を入力として受け入れ、CSR を生成することはありません。

  • 現在のレート制限は何ですか?

    https://letsencrypt.dokyumento.jp/docs/rate-limits/

  • ウェブサーバーを停止せずに証明書を発行できますか?

    はい、Certbot にはドメイン検証を実行するためのさまざまなプラグインがあり、「standalone」プラグインを除いて、いずれもダウンタイムを必要としません。

  • Let's Encrypt サーバーは、私のウェブサーバーの検証にどの IP アドレスを使用しますか?

    Let's Encrypt CA は、検証に使用される IP アドレスのリストを公開していません。これは、いつでも変更される可能性があるためです。将来的には、一度に複数の IP アドレスから検証される可能性があります。

  • 私のウェブサーバーがポート 80 でリスンしていない場合でも、証明書を発行できますか?

    はい、DNS-01 または TLS-ALPN-01 チャレンジを使用します。ただし、Certbot には TLS-ALPN-01 のサポートはまだありません。DNS 認証以外の方法で Certbot を使用している場合、ウェブサーバーはポート 80 でリスンする必要があります。少なくとも、証明書の検証中は一時的にポート 80 でリスンできる必要があります。

    ポート 80 をブロックする ISP またはファイアウォールがあり、ブロックを解除できない場合は、DNS 認証または別の Let's Encrypt クライアントを使用する必要があります。

  • 私のサイトの HTTPS 構成のデバッグに使えるツールは何ですか?

    Let's Encrypt コミュニティフォーラムで一般的に推奨されているスキャンツールが 4 つあります。

    すべて長所があります。Let's Debug は、HTTPS がまだ機能していないユーザーのみが使用します。一方、SSL Labs は、(少なくともある程度)機能しているユーザーのみが使用します。

    Let's Debug:チャレンジが失敗し、失敗の原因を簡単に説明してほしい場合に、Let's Debug は最も役立ちます。

    Check-Your-Website:一部のページやブラウザでは正しく動作し、他のページやブラウザでは動作しない場合、または HTTP サイトがブラウザで動作するのに、理解できない失敗したチャレンジが発生する場合など、混乱を招く DNS または HTTP 構成エラーがある場合に、Jürgen のスキャナーは最も役立ちます。

    Why No Padlock:既に証明書を持っているのに、すべてのユーザーまたは一部のユーザーが有効な HTTPS 接続を表示しない場合(および、混合コンテンツ警告の原因となる非常に具体的な情報を提供する場合)に、Why No Padlock は最も役立ちます。

    SSL Labs:一部のブラウザでは正しく動作し、他のブラウザでは暗号スイートに関連するエラーが発生する場合、またはオタクや規制当局にセキュリティのベストプラクティスに従っていることを納得させたい場合など、既に設定されている HTTPS サイトの暗号化の問題に、SSL Labs は最も役立ちます。

  • Certbot のプライバシーポリシーは何ですか?

    Certbot のプライバシーポリシーはこちらにあります。

  • Certbot とこのウェブサイトのライセンスは何ですか?

    Certbot ソフトウェアとドキュメントは、こちらに記載されている Apache 2.0 ライセンスの下でライセンス供与されています。それ以外の場合、このウェブサイトは一般的に EFF のCC-BYライセンスの下でライセンス供与されています。ただし、この FAQ ページは、Let's Encrypt FAQLet's Encrypt の CC-BY-NCの下でライセンス供与されていました)の派生物です。