証明書発行機関

公的に信頼される証明書について、Cloudflareは異なる証明書発行機関（CA）と提携しています。このページを参照して、各Cloudflareの提供サービスに使用されているCAを確認し、CAの機能、制限、およびブラウザの互換性に関する詳細を確認してください。

証明書の種類と暗号化アルゴリズムごとの可用性

証明書	アルゴリズム	Let’s Encrypt	Google Trust Services	Sectigo	DigiCert
ユニバーサル	ECDSA RSA (有料プランのみ)	✅ ✅	✅ ✅	N/A N/A	✅ まもなく廃止予定 ✅ まもなく廃止予定
アドバンスド	ECDSA RSA	✅ ✅	✅ ✅	N/A N/A	✅ まもなく廃止予定 ✅ まもなく廃止予定
トータルTLS	ECDSA RSA	✅ ✅	✅ ✅	N/A N/A	❌ ❌
SaaS向けSSL	ECDSA RSA	✅ ✅	✅ ✅	N/A N/A	✅ まもなく廃止予定 ✅ まもなく廃止予定
バックアップ	ECDSA RSA	✅ ✅	✅ ✅	✅ ✅	❌ ❌

機能、制限、およびブラウザの互換性

ユニバーサルSSL

For Universal certificates, Cloudflare controls the validity periods and certificate autorities (CAs), making sure that renewal always occur.

Universal certificates issued by Let’s Encrypt or Google Trust Services have a 90 day validity period. Cloudflare no longer uses DigiCert for newly issued Universal certificates and, for existing ones, the validity period is being adjusted from one year to 90 days.

---

Let’s Encrypt

• 有効期間は90日です。
• DCVトークンは7日間有効です。

制限

• 証明書のホスト名は最大10レベルのサブドメインを含むことができます。
• 重複証明書の制限は5証明書 ↗までです。

ブラウザの互換性

注意

このセクションでは、一般的に要求されるクライアントサポート情報をまとめています。完全で最新の証明書の互換性については、Let’s Encryptのドキュメント ↗を参照してください。

プラットフォームがLet’s Encryptの証明書を検証できるかどうかの主な決定要因は、そのプラットフォームが自己署名の「ISRG Root X1」証明書を信頼しているかどうかです。Let’s Encryptは2024年の信頼チェーンの変更を発表したため、「ISRG Root X1」証明書のクロスサインバージョンのみを信頼するデバイスは影響を受けます。詳細については、Let’s Encryptのチェーン更新を参照してください。

サポートされているクライアントの完全なリストは、Let’s Encryptのドキュメント ↗で確認できます。古いバージョンのAndroidやJavaクライアントは、Let’s Encryptの証明書と互換性がない場合があります。

その他のリソース

Let’s EncryptのルートCA ↗: チェーンとクライアント間の互換性を確認するためのものです。証明書ピンニングで説明されているように、このリストをピンニングに使用することは推奨されません。

---

Google Trust Services

• 有効期間は14、30、および90日です。
• DCVトークンは14日間有効です。

制限

• Punycodeドメインはまだサポートされていません。

ブラウザの互換性（最も互換性があります）

注意

このセクションでは、一般的に要求されるクライアントサポート情報をまとめています。完全で最新の証明書の互換性については、Google Trust Servicesのドキュメント ↗を参照してください。

Google Trust Servicesは、20年以上にわたりクライアントデバイスにインストールされているGlobalSignルートCA ↗とクロスサインすることで、幅広いデバイスでの最適なサポートを確保しています。

現在、Microsoft、Mozilla、Safari、Cisco、Oracle Java、Qihooの360ブラウザに信頼されており、これらのルートプログラムに依存するすべてのブラウザまたはオペレーティングシステムがカバーされています。

チェーンとクライアント間の互換性を確認するためにルートCAリスト ↗を使用できますが、証明書ピンニングで説明されているように、このリストをピンニングに使用することは推奨されません。

---

Sectigo

• バックアップ証明書にのみ使用されます。
• バックアップ証明書は90日間有効です。

ブラウザの互換性

Sectigoのドキュメント ↗を参照してください。

---

DigiCert（まもなく廃止予定）

• 有効期間は14、30、および90日です。
• DCVトークンは30日間有効です。

制限

アメリカ合衆国によって課された制裁により、DigiCertは特定の国または地域に対して製品やサービスを提供することが法的に禁止または制限されています。詳細については、制裁対象国および地域 ↗を参照してください。

ブラウザの互換性

DigiCertのドキュメント ↗を参照してください。

その他のリソース

ステータスページ ↗

DigiCertのルートCA ↗: チェーンとクライアント間の互換性を確認するためのものです。証明書ピンニングで説明されているように、このリストをピンニングに使用することは推奨されません。

---

CAAレコード

A Certificate Authority Authorization (CAA) DNS record specifies which certificate authorities (CAs) are allowed to issue certificates for a domain. This record reduces the chance of unauthorized certificate issuance and promotes standardization across your organization.

CloudflareをDNSプロバイダーとして使用している場合、CAAレコードはあなたの代わりに追加されます。CAAレコードを追加する必要がある場合は、CAAレコードの追加を参照してください。

以下の表は、各CAのCAAレコードの内容を示しています:

証明書発行機関	CAAレコードの内容
Let’s Encrypt	letsencrypt.org
Google Trust Services	pki.goog; cansignhttpexchanges=yes
DigiCert	digicert.com; cansignhttpexchanges=yes
Sectigo	sectigo.com