こんにちは。WwWです。
業務でSSL/TLSサーバ証明書の更新作業を行う方にとって、最近大きなニュースがありました。
サーバ証明書の最大有効期間が段階的に短縮され、最終的には『47日』まで短縮されることが決定しています。
証明書更新の運用に大きな影響が出るため、本記事ではその背景と今後必要になる対応についてまとめます。
サーバ証明書とは?
サーバ証明書とは、通信先のサーバが正当なものであることを確認し、通信内容を暗号化するための電子証明書です。
サーバ証明書は一般的に「SSL/TLSサーバ証明書」のことであり、通信データを暗号化することにより
改竄防止、盗聴防止、なりすまし防止といったセキュリティ効果が得られます。
詳しく知りたい方は、下記サイトを参照してください。
■参考
JIPDEC(一般財団法人 日本情報経済社会推進協会)
解説「SSL/TLSサーバ証明書とは」
また、サイトにSSL/TLSサーバ証明書が正しく設定されている場合、ブラウザから証明書情報を確認できます。
<Microsoft Edge の場合>
<Google Chrome の場合>
有効期間の短縮について
SSL/TLSサーバ証明書の有効期間は、以前の方が現在より長く、最大で5年に設定されていた時代もありました。
しかしセキュリティ強化のため、近年は段階的に短縮され続けています。
そして現在、以下のスケジュールで最大有効期間が短縮されることが決定しています。
| 日程 | 最大有効期間 | 備考 |
|---|---|---|
| 2026年3月14日までに発行された証明書 | 398日 | |
| 2026年3月15日以降に発行された証明書 | 200日 | ※執筆時点ではここ |
| 2027年3月15日以降に発行された証明書 | 100日 | |
| 2029年3月15日以降に発行された証明書 | 47日 |
この決定を行ったのは、業界団体である「CA/Browser Forum(CA/B Forum)」です。
SSL/TLSサーバ証明書を発行する認証局(CA)と主要ブラウザベンダー(Google / Apple / Mozilla / Microsoft など)が参加し、
SSL/TLSサーバ証明書のルールを策定している組織です。
ブラウザ側がこのルールに従って動作を変更するため、実質的に強制力があります。
なぜ有効期間が短縮されるのか?
有効期間短縮の背景には、長期間の証明書がセキュリティリスクを高めるという課題があります。
有効期間を短くすることで、被害期間を限定できるため、セキュリティ強化のために短くすることが求められているのです。
■参考
株式会社NTTデータ先端技研
サーバ証明書有効期間が47日に短縮決定 ~証明書更新自動化のすすめ~
ちなみに、あくまで上記の最大有効期間は業界共通の上限値であり、実際の有効期間は認証局(CA)によって異なりますので、
使用している認証局(CA)のアナウンスを確認しましょう。
例えば、Let’s Encrypt のSSL/TLS証明書の有効期間は執筆時点では90日間ですが、2028年までに45日間へ短縮する方針が発表されています。
■参考
Let’s Encrypt 公式ブログ(※英文です)
Decreasing Certificate Lifetimes to 45 Days
有効期間短縮による影響、今後必要になる対応
有効期間が短くなると、当然ながら更新頻度が増加します。
- 手動更新の工数が増大する
- 更新忘れのリスクが高まる
- 設定ミスによるサービス停止リスクが増加する
特に47日になると、1~1.5ヶ月ごとに更新が必要になるため、手動運用では現実的ではありません。
そのため、「手動更新」から「自動更新」にシフトしていく必要があります。
自動更新
SSL/TLSサーバ証明書の自動更新には、ACME(Automated Certificate Management Environment)対応を実施する必要があります。
ACMEとは、SSL/TLSサーバ証明書の発行と更新を自動化するプロトコルです。
①Let’s Encrypt を使用する場合
Let’s Encryptは ACMEに標準対応しており、スクリプトやツールによる自動更新が容易です。
以前、アバンセラボの記事でも紹介していますので、ぜひ参考にしてください。
※記事内のcronの実行間隔は、有効期間短縮に合わせて調整が必要ですので適宜変更してくださいね
■参考
アバンセラボの記事
Let’s Encryptで「Http」を「Https」にする方法
②有料CA を使用する場合
近年は有料CAもACME対応を進めています。
それぞれのアナウンスを確認して対応を進めていきましょう。
Let’s Encrypt と有料CAの違い
Let’s Encrypt は無料で利用でき、暗号的にも安全ですが、DV証明書のみを提供しており公式サポートはありません。
一方、有料CAはDV証明書に加えて企業実在確認を行う証明書(OV / EV)も提供しており、サポートや保証を含めた運用面での説明責任を担っています。
用途に応じて選択しましょう。
| 項目 | Let’s Encrypt | 有料CA |
|---|---|---|
| 費用 | 無料 | 有料 |
| サポート | なし | あり |
| 暗号化強度 | 同じ ※暗号化強度に違いはない | 同じ ※暗号化強度に違いはない |
| 発行可能な種類 | DVのみ | DV / OV / EV |
証明書の種類:
- DV(ドメイン認証):ドメイン所有権のみ確認
- OV(企業認証):ドメイン所有+企業の実在性を確認
- EV(拡張認証):ドメイン所有+OVより厳格な組織確認を実施
最後に
SSL/TLSサーバ証明書の有効期間短縮は、今後の運用に大きな影響を与えます。
特に有効期間が47日まで短縮されると、手動更新では運用が現実的ではなくなってしまいます。
早めにACMEを利用した自動更新の仕組みを検討し、将来の運用負荷やリスクを減らしていきましょう。
関連記事
-
第1回 Visual C++で作成したDLL内のクラスをC#で利用する方法
こんにちは、ILCです。 Visual C++ (以下 VC++)で作成されたDynamic...
公開日:2024.01.19 更新日:2024.01.19
tag : Windows
-
-
-
【新機能探訪】Android 13から導入された『アプリごとの言語設定』
こんにちは、KNSKです。よろしくお願いします。 今回は Android13の新機能である『...
公開日:2022.12.09 更新日:2022.12.09
tag : スマートデバイス
-
第1回 ラズパイを使用したBLE通信 ~ ディスプレイ、キーボード、マウスを接続しないで設定 前編 ~
こんにちは、GTです。よろしくお願いします。 最近業務でラズパイのBluetooth機能を使...
公開日:2021.12.24 更新日:2021.12.24
tag : Bluetooth Raspberry Pi
-
こんにちは。WwWです。 システム系の開発をしていると様々な問題が起こります。 そこで今回は...
公開日:2023.04.28 更新日:2023.04.28
