ガイドSSLLet's Encrypt

Let's Encrypt証明書の自動更新を確実にする完全ガイド【2026年版】

Let's Encrypt SSL証明書の自動更新が失敗する原因と対処法を解説。certbotの設定確認からトラブルシューティングまで網羅。

UpGuardian Team

TL;DR

Let's Encrypt証明書は90日ごとに自動更新が必要です。certbotのタイマーが正しく動作しているか確認し、更新テストを実施、さらに監視ツールで期限をチェックすることで、うっかり失効を防げます。

Let's Encryptの自動更新の仕組み

Let's Encryptは、無料でSSL/TLS証明書を発行できるサービスですが、有効期限は90日間です。certbotを使うと、以下のような仕組みで自動更新されます:

自動更新が失敗する主な原因

1. certbotのタイマーが停止している

systemdのタイマーが無効化されていると、自動更新が実行されません。以下のコマンドで確認しましょう:

sudo systemctl status certbot.timer

「inactive (dead)」と表示される場合は、タイマーが停止しています。以下のコマンドで有効化してください:

sudo systemctl enable certbot.timer
sudo systemctl start certbot.timer

2. Webサーバーの設定が変わっている

証明書を取得した時と現在でWebサーバーの設定が変わっていると、更新に失敗することがあります。特に、.well-known/acme-challengeへのアクセスがブロックされていると更新できません。

Nginxの場合、以下の設定を確認してください:

location /.well-known/acme-challenge/ {
    root /var/www/html;
    allow all;
}

3. DNS設定が変更されている

DNSのAレコードが変更され、certbotが実行されているサーバーと異なるIPを指している場合、DNS認証やHTTP認証が失敗します。CloudflareのプロキシをONにした場合も注意が必要です。

4. ファイアウォールがHTTP(ポート80)をブロックしている

Let's EncryptのHTTP認証は、ポート80経由で.well-known/acme-challenge/にアクセスします。ファイアウォール(iptables、ufw、AWS Security Groupなど)でポート80が閉じていると更新に失敗します。

自動更新のテスト方法

本番の更新を待たずに、ドライラン(テストモード)で更新が成功するか確認できます:

sudo certbot renew --dry-run

このコマンドは実際に証明書を更新せず、更新プロセスだけをシミュレートします。エラーが出る場合は、上記の原因を確認してください。

更新失敗時のログ確認

certbotのログは、/var/log/letsencrypt/letsencrypt.logに記録されています。更新に失敗した場合、以下のコマンドでログを確認しましょう:

sudo tail -n 50 /var/log/letsencrypt/letsencrypt.log

エラーメッセージから原因を特定できます。

複数ドメインの管理

複数のドメイン・サブドメインで証明書を使っている場合、1つでも更新に失敗すると、そのドメインだけ証明書が切れます。以下のコマンドで全ての証明書の有効期限を一覧表示できます:

sudo certbot certificates

監視ツールで期限をチェック

自動更新を設定していても、万が一のために監視ツールでSSL証明書の有効期限を常時チェックすることをおすすめします。UpGuardianのSSL証明書監視なら、期限切れの30日前・7日前に警告メールを送信します。

Cloudflare経由の証明書更新

CloudflareのプロキシをONにしている場合、HTTP認証がうまくいかないことがあります。以下の2つの対処法があります:

まとめ

Let's Encryptの自動更新は、certbotのタイマーが正しく動作していれば問題ありません。しかし、サーバー設定の変更やDNS変更で更新に失敗するケースがあります。定期的にcertbot renew --dry-runでテストし、監視ツールで期限をチェックすることで、うっかり失効を防げます。

サーバー監視を始めませんか?

UpGuardianなら5サイトまで無料で監視できます。

無料で始める

関連記事

Webサイトのダウンタイムを防ぐ7つの方法
Webサイトのダウンタイムの主な原因と、それを防ぐための具体的な7つの対策を解説。監視ツールの導入からインフラ設計まで。
SSL証明書の期限切れを防ぐ完全ガイド【自動監視の設定方法】
SSL証明書の期限切れによるサイト障害を防ぐ方法。Let's Encryptの自動更新の確認方法から、監視ツールでの期限チェック設定まで解説。
Let's Encrypt 45日証明書移行ガイド【2026年5月13日対応】
2026年5月13日からLet's Encryptが45日証明書に移行。従来の90日から半減し、監視・自動更新の重要性が急上昇。対応方法を完全解説。
Let's Encrypt証明書の自動更新を確実にする完全ガイド【2026年版】 | UpGuardian