2025年4月14日、IT之家の報道によると、SSL/TLS証明書はウェブサイトのセキュリティを確保するための重要なプロトコルですが、Appleは以前、CA/Bフォーラム(SSL/TLS証明書の運用基準を管理する業界組織)に対して、すべての証明書の有効期間を45日に短縮する提案を行っていました。
議論を重ねた結果、4月13日にCA/Bフォーラムのサーバー証明書ワーキンググループにおいて提案「SC-081v3」が投票で承認され、最終的に公開信頼TLS証明書の有効期間および検証データの再利用期間を段階的に短縮することが決定されました。
提案の概要
-
証明書の有効期間
現在の最大398日から段階的に短縮され、最終的には47日にすることが決定されました。なお、Appleが当初提案した45日よりやや延長された形となっています。 -
SANデータ(Subject Alternative Name)検証情報の再利用期間
証明書に記載されるSAN検証データの再利用期間も短縮され、最終的には10日間となります。 -
審査段階
提案はCA/Bフォーラムの規約要件を満たしており、現在知的財産権(IP)審査段階に入っています。
投票結果(IT之家付記)
証明書発行機関(CA)側
-
賛成票:25票
以下は賛成票を投じた主な組織(※一例):- Amazon
- Asseco Data Systems SA(Certum)
- Buypass AS
- Certigna (DHIMYOTIS)
- Certinomis
- DigiCert
- Disig
- D‑TRUST
- eMudhra
- Fastly
- GlobalSign
- GoDaddy
- HARICA
- iTrusChina
- Izenpe
- NAVER Cloud Trust Services
- OISTE Foundation
- Sectigo
- SHECA
- SSL.com
- SwissSign
- Telia Company
- TrustAsia
- VikingCloud
- Visa
-
棄権票:5票
棄権票を投じた主な組織(※一例):- Entrust
- IdenTrust
- Japan Registry Services
- SECOM Trust Systems
- TWCA
証明書消費者側
-
賛成票:4票
Apple、Google、Microsoft、Mozilla の各ブラウザ開発者が全票賛成しました。
SSL/TLS証明書が果たす役割
SSL/TLS証明書は、公開鍵基盤(PKI)を利用して、以下のようにウェブサイト間で安全な通信を実現します。
-
サーバー認証:
証明書により、利用者はウェブサイトの真正性を確認できます。ブラウザはアドレスバーに「HTTPS」表示や鍵アイコン、場合によっては緑色のアドレスバーを表示します。 -
暗号化通信:
クライアントとサーバー間の通信は証明書を用いて暗号化され、第三者によるデータの盗聴や改ざんを防ぎます。 -
信頼性の担保:
証明書は発行時点での情報(例:ドメイン所有者や組織情報)が正確であることの証明であり、時間が経過するにつれて情報が陳腐化するリスクがあるため、短期間の有効性が望まれています。
なぜ短命化が必要なのか
提案の背景には以下の理由があります:
-
リスク低減
証明書が万一漏洩した場合、短い有効期間により、攻撃者が悪用できる期間が短縮されます。 -
情報の鮮度向上
証明書は発行時点での正確な情報に基づきますが、環境変化により情報が古くなるリスクがあるため、定期的な再検証が求められます。 -
自動化の促進
手動による更新が困難となるため、ACMEプロトコル(例:Let's Encryptが採用)などによる自動更新の仕組みが必須となります。
まとめ
今回のSC‑081v3提案により、公開TLS証明書の最大有効期間が398日から段階的に短縮され、最終的には47日となることが決定されました。また、SAN検証データの再利用期間も10日に短縮される見込みです。主要なブラウザや証明書発行機関(CA)から全票賛成を得たことから、この変更は間違いなく業界標準へと反映されるとみられます。
今後、システム管理者は証明書自動更新の仕組みを整え、変更に備える必要があります。