SSL証明書の取得は以前は面倒な作業でした。Let’s Encryptが無料化を実現しましたが、今はもう一つの選択肢があります。Google Trust Servicesです。Googleが運営する認証局で無料のSSL証明書を発行できます。しかも、ACME APIで自動化が可能です。そこで今回は、その仕組みと使い方を整理します。
Google Trust Servicesの概要
Google Trust ServicesはGoogleが運営する認証局(CA)です。GoogleのサービスやユーザーにTLS証明書を提供しています。さらに、一般のWebサイトにも無料で発行します。つまり、Let’s Encryptと同様の無料CAです。
発行されるのはDV(ドメイン認証)証明書です。ドメインの所有権確認だけで取得できます。また、ACMEプロトコルに対応しています。したがって、証明書の取得と更新を完全自動化できます。しかし、Let’s Encryptとの違いもあります。特に、証明書チェーンがGoogleの独自ルートを使用する点です。
Google Trust Servicesの導入方法
導入にはいくつかのステップがあります。まず、Google Cloud上でAPIアクセスを設定します。次に、EAB(External Account Binding)認証情報を取得します。さらに、certbotなどのACMEクライアントを使って証明書を申請します。
具体的には、certbot –server オプションでGoogleのACMEエンドポイントを指定します。なお、既存のLet’s Encrypt環境からの移行も容易です。しかし、Google Cloudアカウントが必要です。つまり、完全に無料ですがアカウント作成は前提です。特に、APIキーの管理には注意しましょう。
Let’s Encryptとの比較
Let’s Encryptとの主な違いを整理します。まず、証明書の有効期間はどちらも90日です。また、自動更新に対応している点も共通です。しかし、発行元の信頼チェーンが異なります。
具体的には、Google Trust Servicesの証明書はGoogleルートCA配下です。さらに、CAA(認証局認可)レコードの設定が異なります。なぜなら、使用するCAドメインが違うからです。つまり、DNS設定の変更が必要な場合があります。特に、複数のCAを併用する場合はCAAレコードの管理が重要です。実際、両方を併用する運用も可能です。
Google Trust Servicesのメリット
いくつかのメリットがあります。まず、Googleのインフラによる高い可用性です。また、APIの安定性も魅力です。さらに、Google Cloudとの統合が容易です。
特に、大規模な証明書管理では威力を発揮します。なぜなら、レートリミットがLet’s Encryptより緩い場合があるからです。しかし、小規模なサイトではLet’s Encryptで十分です。つまり、規模に応じた選択が重要です。なお、証明書の透明性ログへの登録も自動的に行われます。このように、セキュリティ面でも安心です。
まとめ
Google Trust Servicesは無料SSL証明書をAPI経由で発行する認証局サービスです。しかし、Let’s Encryptとは異なる特徴を持っています。特に、Google Cloudとの統合や高い可用性がメリットです。また、大規模な証明書管理にも適しています。実際、選択肢が増えたことでSSL証明書の運用がさらに柔軟になっています。