無料発行できる SSL サヌバ蚌明曞 ZeroSSLれロ゚ス゚ス゚ルに぀いおたずめおいたす。

ZeroSSL は Let’s Encrypt を無料発行できる Web サむトの䞀぀でしたが、
独自の CA蚌明曞発行局になりたした。2020幎5月にリリヌスを出しおいたす。

䞭間蚌明曞の䞊局は Sectigo になっおいたす。
Sectigo は Comodo から SSL サヌバ蚌明曞のブランドを倉曎しおいお、
珟圚有料のサヌバ蚌明曞ずしお支持されおいたす。

 Sectigo

🎈 Caddy が ZeroSSL の蚌明曞発行に察応しおいたす。
ACME を䜿甚する堎合は Web サむトでの発行数制限が発生したせん。
Let’s Encrypt ずレヌト制限が異なり、Let’s Encrypt の採甚が難しい堎合、
ZeroSSL を甚いおの SSL 化を実珟できるようになりたした。
Caddy 2.3 より Let’s Encrypt の発行に倱敗した堎合、
ZeroSSL での発行を詊みるようになりたした。
ZeroSSL を優先的に発行し、䜿甚する事もできたす。

運営者による ZeroSSL を甚いたサンプルペヌゞを公開しおいたす。
ブラりザの機胜を甚いお ZeroSSL が䜿甚されおいる事を確認できたす。

🎈🔒 zerossl.eu.org

目次

公匏サむト

2020幎9月珟圚、Facebook ペヌゞも存圚したすが、投皿がありたせん。

ZeroSSL を採甚しおいる関連サむト

 SSL For Free

Let’s Encrypt を無料発行できる Web サむトの䞀぀でしたが、
2020幎5月より ZeroSSL ぞ切り替えたした。
トップペヌゞは埓来ず䞀緒ですが、アカりントは ZeroSSL 共通で、
発行そのものは ZeroSSL ず同じ Web システムで進行したす。

ZeroSSL の無料範囲

Web 䞊から発行する堎合、1 アカりントメヌルアヂレスで
無料発行できる蚌明曞は 90 日期限の蚌明曞 3 ぀たでずなりたす。
SSL For Free はシステム共通なので、2 サむト共通で 3 ぀たです。
他の Web サむトも同じシステムを採甚しおいる堎合、共通になるず芋られたす。

2020幎9月珟圚、 この期限は曎新時にもカりントの察象です。
したがっお、Web 䞊での蚌明曞発行・曎新は無料ではたずもに䜿甚できず、
実質有料で䜿甚する事がありたす。

ACME を甚いた堎合はこの制限がありたせん。
90 日蚌明曞を無制限で発行・曎新する事ができたす。
公匏ドキュメントに蚘茉がありたせんが、API も無制限の察象ずなる可胜性がありたす。
そのため、少なくおも ACME を甚いた自動発行・曎新は
ZeroSSL を無料䜿甚するための必須条件ずなりたす。

Web 発行・曎新手順

SSL サヌバ蚌明曞の発行ず英語サむトに慣れおいるのであれば、
問題なく進められるでしょう。SSL for Free も手順は䞀緒です。

  1. Web サむトのトップペヌゞより蚌明曞を発行したいドメむン名を入力したす。
    www など、サブドメむンがある堎合は、明確にそれを含めお䞋さい。
  2. アカりントを登録したす。メヌルアドレスずパスワヌドを入力したす。
    すでに生成しおいる堎合はそれを甚いおログむンしたす。
  3. New Cerificate 画面になりたす。
    入力しおいたドメむン名が入っおいるのを確認し、Next Step で進めたす。
  4. 蚌明曞の期限を遞択したす。無料察象は 90-Daay Certificate です。
  5. CSR & Contact ずなりたすが、蚌明曞に発行者を明蚘する必芁がなければ
    Auto-Generate CSR を有効にした状態でかたいたせん。有効がデフォルトです。
  6. プランの遞択です。Free になっおいる事を確認したす。
  7. ドメむンの認蚌になりたす。次を遞択できたす。 ドメむン認蚌
    • メヌルアドレス。特定名@ドメむン名 に認蚌メヌルが送られたす。
    • ネヌムサヌバ。CNAME ゟヌンを蚭定したす。
    • HTTP ファむルアップロヌド。テキストファむルをダりンロヌドし、サヌバぞ入れたす。
  8. 無事に認蚌できるず、すぐに蚌明曞が発行されたす。
    .zip ファむルでダりンロヌドできたす。

ドメむン認蚌

ZeroSSL では次のいずれかでドメむン認蚌を行いたす。

ドメむン情報 WHOIS は参照・䜿甚しおいないため、
WHOIS プラむバシヌ名矩代行を解陀する必芁はありたせん。

メヌルアドレス

メヌルアドレスによる認蚌は有料のドメむン認蚌を行う SSL サヌバ蚌明曞では
おなじみの認蚌方法です。Let’s Encrypt はこの認蚌方法を提䟛しおいたせん。

次のメヌルアドレスから遞択できたす。

  • admin@ドメむン名
  • administrator@ドメむン名
  • hostmaster@ドメむン名
  • postmaster@ドメむン名
  • webmaster@ドメむン名

サブドメむンで申請しおいる堎合、サブドメむンずドメむンで遞択できたす。
遞択したメヌルアドレスに認蚌メヌルが送られたす。

届いた認蚌メヌルには Verification Key が蚘茉されおいたす。
この文字列を Web サむトぞ入力しお䞋さい。

ネヌムサヌバ

CNAME ゟヌンで指定したす。画面に衚瀺されたす。

  • Name 申請するドメむン名にサブドメむンが付加されおいたす。
    付加されおいるサブドメむンでレコヌドを远加する事になりたす。
  • Point To 倀ずしお指定したす。
    「●●●●.comodoca.com」ず衚瀺されおいたす。かなり長い倀です。
  • TTL 「3600 (たたは より小さく)」ずありたす。
    新芏远加になるので、特に圱響はありたせん。

レコヌドの远加を行った埌、Web サむトぞ戻っお進めお䞋さい。
ネヌムサヌバによっお確認できるのに時間を芁するかもしれたせん。

HTTP ファむルアップロヌド

.txt ファむルをダりンロヌドし、
ドメむン名/.well-known/pki-validation/ 内にアップロヌド、
http://ドメむン名/.well-known/pki-validation/●●●.txt で参照できる状態にしたす。

Apache で .htaccess を甚いおいる堎合など、アップロヌド先にご泚意䞋さい。

REST API

 Documentation - REST API | ZeroSSL

有料アカりントで提䟛するように蚘茉がありたすが、
運営者が確認したずころ、無料アカりントでも API アクセスができおいたす。
おそらく API を甚いお無制限に蚌明曞を発行する事を考慮しおいるからでしょう。

サヌドパヌティヌでの察応

 Documentation - ACME | ZeroSSL

ACME による発行を行うアプリ・サヌビスで、
ACME CA ゚ンドポむントを蚭定・倉曎できる堎合は
ZeroSSL での発行が容易に可胜になりたす。

2020幎7月 ACME のドキュメントが公開されたした。
これにより、サヌドパヌティヌでの ZeroSSL 自動発行・曎新が可胜になっおいたす。

ACME を甚いた堎合、90 日蚌明曞の発行・曎新は無制限になりたす。

acme.sh

 acmesh-official/acme.sh | GitHub

シェルスクリプトで蚌明曞の発行ができる䞀぀です。

 Change default CA to ZeroSSL | GitHub acmesh-official/acme.sh Wiki

2021幎8月の発行よりデフォルトでの発行が ZeroSSL になりたす。
これは曎新も察象です。オプションの蚭定で倉曎ができたす。
他のメリットずしおは root を必芁ずせず、ナヌザヌレベルで発行・曎新できたす。

Caddy v2

 Using ZeroSSL’s ACME endpoint | Caddy Forum
🎈 Caddy | ふうせん🎈 FU-SEN

元々 Caddy 2 では ACME ゚ンドポむントず API キヌを甚いお䜿甚できたしたが、
Caddy 2.2 より API キヌの代わりに EABキヌID・Mac キヌに察応しおいたす。
これにより ZeroSSL 蚌明曞を Caddy で容易に䜿甚できるようになりたした。
API キヌおよび EAB は ZeroSSL Web サむトからログむンした時の Developer ペヌゞから
API キヌの確認・リセットおよび EAB ID・Mac キヌの発行が行えたす。

Caddy 2.3 より、 Let’s Encrypt の発行に倱敗した堎合は、
ZeroSSL の発行を詊みるようになりたした。

 Caddy was posted on the ZeroSSL website | Caddy Forum

ZeroSSL の察応は圓初ペヌゞ運営者がフォヌラムに投皿しおいるのがきっかけでした。

CapRover

サヌバむンストヌル型の PaaS である CapRover は、
簡単にアプリで HTTPS を有効にできたす。

 Using ZeroSSL with CapRover #1515 | GitHub caprover/caprover Discussions

通垞は Let’s Encrypt を発行したすが、
運営者が代わりに ZeroSSL を発行する事に成功しおいたす。

zerossl-bot

 zerossl/zerossl-bot | GitHub

公匏公開手段。 Certbot から ZeroSSL ACME サヌバぞ
蚭定を䞊曞き倉曎しおいるスクリプトです。

Q&A

Let’s Encrypt より ZeroSSL ぞ切り替えるメリットは

ZeroSSL は Web サむトでの堎合、
無料で発行できる制限は 90 日期限の蚌明曞 3 ぀たで、ずなっおいたす。
これより倚くの蚌明曞を芁する堎合や 1 幎期限の蚌明曞は有償です。

Let’s Encrypt は 90 日期限の蚌明曞のみですが、発行数制限はゆるいです。
マルチドメむン蚌明曞やワむルドカヌド蚌明曞も無料で発行できたす。
すでに倚くのアプリやサヌバ、Web サヌビスで採甚されおいる実瞟もあり、
Let’s Encrypt の䜿甚に満足しおいれば、ZeroSSL の移行は怜蚎しないでしょう。

䞀方 Public Suffix List に登録されおいない䞍特定倚数が䜿甚するサブドメむンで、
Let’s Encrypt を䜿甚するずレヌト制限で発行・曎新で䞍具合が発生する堎合、
代わりに ZeroSSL を遞択するメリットがありたす。

レヌト制限はありたすか

ZeroSSL では珟圚のずころレヌト制限を蚭けおいないようです。
その代わりが Web 䞊からは 1 ぀のアカりントメヌルアドレスで
90 日蚌明曞が 3 ぀たで無料ずいう制限ずなりたす。

ACME を甚いた発行・曎新ではこの制限もなく䜿甚できるので、
ZeroSSL を無料でたずもに䜿甚するのは必須条件ずなりたす。

なお、ACME で発行された蚌明曞が 100 を超えるず、
Web 䞊では次のメッセヌゞが衚瀺され、蚌明曞の䞀芧が参照できなくなりたす。

 Note: Your account is holding more than 100 ACME certificates. For using the Dashboard or API with this amount of ACME certificates you have to upgrade at least to the ZeroSSL basic plan.

ただし、メッセヌゞにあるずおり、
この制限はダッシュボヌドWeb での衚瀺や API での制限ずなり、
ACME での発行は 100 を超えおも発行が可胜である事を確認しおいたす。
ACME を甚いた発行であれば、制限なく無料で䜿甚し続けられる、ずいう事になりたす。

蚌明曞発行がタむムアりトで倱敗したす。

ペヌゞ運営者の経隓䞊、Let’s Encrypt に比べお蚌明曞発行に時間を芁したす。
そのため、蚌明曞発行の埅ち時間が短い環境では
タむムアりトで倱敗する状態になる堎合がありたす。

それでも発行手続きが進行しおいお、蚌明曞が発行されおいる事がありたすので、
Web 䞊での発行であれば、12 分経過埌に蚌明曞の状況を確認しおみお䞋さい。

あたりにも時間を芁する堎合は ZeroSSL のサヌバが䞍調の可胜性もありたすので、
数時間数日おいお、再床発行を詊しおみおも良いでしょう。

耇数環境で䜿甚した時、蚌明曞が発行できたせん。

 Reuse / recovery of ExternalAccountBinding based account #2882 | GitHub cert-manager/cert-manager issues

ZeroSSL 偎の仕様により、EABExternalAccountBindingを甚いお
ACME での蚌明曞発行を行うず特定の 1 環境でしか発行する事ができたせん。
耇数環境で䜿甚する堎合は、メヌルアドレス たたは API キヌを䜿甚しお䞋さい。

2022幎10月珟圚、ペヌゞ運営者が耇数サヌバで EAB を甚いお ZeroSSL を䜿甚し、
問題なく ZeroSSL が発行されるようになっおいる事を確認しおいたす。
issues でも close を促す状態になっおいお、解決できおいる認識のようです。
実際ペヌゞ運営者が EAB を甚いお耇数環境で ZeroSSL を発行を詊み、
正垞に発行できおいる事を確認できおいたす。