SSL/TLS証明書、昔は年額1万円以上払って買うのが当たり前だった。更新を忘れてサイトが「危険」扱いになるのも日常茶飯事。Let’s Encryptがその常識を完全に破壊した。
Let’s Encryptは無料でSSL証明書を発行してくれる認証局。90日ごとに更新が必要だけど、certbotで自動化すれば実質永久的に無料。僕のブログも含め、個人サイトのHTTPS化を一気に進めた立役者だ。
証明書管理の最適解:
- certbot(スタンダード) — `certbot –nginx`でNginxの設定を自動検出して証明書を取得。更新もcronで自動。これが一番簡単。
- acme.sh(パワーユーザー向け) — DNS認証対応。ワイルドカード証明書も取れる。CloudflareやRoute 53のAPIと連携して自動更新。
- Nginx Proxy Manager — GUIでポチポチ。SSL証明書の取得・更新もワンクリック。とにかく楽したい人向け。
- Caddy — Webサーバー自体が証明書を自動取得。nginxの代替として検討する価値あり。
ワイルドカード証明書(`*.mame-mame.org`)のススメ。これがあればサブドメインをいくつ追加しても証明書を取り直さなくていい。DNS認証が必要でcertbot単体では取れないけど、acme.sh + Cloudflareなら簡単。
証明書が切れたときの悲劇。Googleがサイトを「危険」と表示し、SEOも下がる。絶対に自動更新を仕込んでおこう。セットアップ時に`certbot renew –dry-run`でテストを忘れずに。僕は一度更新スクリプトが死んでてサイトが3日間警告表示された苦い思い出がある。