SSL/TLS の自動化 ― Let’s Encrypt と Cloudflare で運用コストゼロ

SSL/TLS証明書はもう「手動更新で何度も冷や汗をかく」時代ではない．本記事では Let’s Encrypt と Cloudflare で運用コストをゼロにする設計を整理する．

この記事では，個人開発者・スモールチーム・学生エンジニアの方を主な読み手として書いています．10分で読み終わって，明日から動ける具体的な行動が1つ見つかる状態を目指しています．

なぜSSL自動化が必須なのか

Let’s Encrypt の証明書は90日で失効する．手動運用だと「忘れた日にサイトが落ちる」という事故が必ず起きる．取引中のクライアントから「サイト見られませんよ」と連絡が来る最悪のシナリオ．

自動化すれば，更新タイミングを意識しなくていい．一度設定すれば数年単位で気にしなくて済む．これが運用コストゼロの本質．

Cloudflare をDNSプロキシとして使うと，Edge証明書が自動発行・自動更新．設定は SSL/TLS タブで「Full(strict)」を選ぶだけ．

本サーバー側にも証明書が要る．こちらも Cloudflare の Origin Certificate を使えば15年有効．発行 → サーバーに配置 → ほぼ放置可．

VPS派の定番．certbot --nginx でNginx統合一発．発行後，cron / systemd timer に certbot renew を仕込む．

更新の90日前から60日前に renew が走り，期限切れ前に必ず更新される設計．–dry-runオプションで事前検証を習慣化．

サブドメインを大量に運用するなら *.example.com のワイルドカード証明書．Let’s Encrypt は DNS-01 認証でこれを発行できる．

DNS-01 はTXTレコードを動的に追加・削除する必要があり，API対応のDNSプロバイダ(Cloudflare等)が前提．逆に言えばCloudflareならcertbot --dns-cloudflareで全自動．

共有レンタルサーバーなら，多くがLet’s Encrypt統合をワンクリックで提供．有効化チェックを入れるだけで証明書が発行・更新される．

個人開発者の現実解はこれ一択．技術的に学ぶ価値はあるが，運用コスト0で済むのが圧倒的に楽．

自動化していても，監視は別立て．証明書期限のチェックはopenssl s_client -connect example.com:443 | openssl x509 -noout -enddate．これをCron + Slack通知でアラート化．

無料の外形監視(UptimeRobot等)でも証明書期限切れアラートが取れる．2段構えで，自動化が壊れても気づける状態を作る．

SSL証明書はサイトの体温のようなもの．高熱(期限切れ)になれば全部のシステムが止まる．自動化で「平熱」を保つことが，個人開発の運用品質を引き上げる．

これからドメインを取るなら，取り扱い400種類以上のドメイン取得サービス─ムームードメイン─ がDNS設定もシンプル．Cloudflareへの切替もNS変更だけで完結し，Let’s Encryptと組み合わせる典型構成に向く．

SSL自動化に最も向いたサーバーは，ロリポップ！．独自SSL(Let’s Encrypt)が無料・ワンクリック・自動更新で，個人開発者にとって運用コスト0の典型．

個人サイト・SaaSレベルでは実害ゼロ．金融・ECで保証額が必要なら有料．

301で http→https を全部回す．.htaccessや Nginx のreturn 301で実装．

外部画像・CDN・iframeも全部httpsで揃える．Content-Security-Policy で混在を検出・遮断できる．

大事なのは，「正解を完璧に押さえる」ことではなく「動き始める」ことです．今日，自分のサーバーのcertbot renew --dry-runを走らせて，自動更新が動くことを確認しましょう．