はじめに
こんにちは、花王株式会社のnakariver003です。
2029年3月15日以降、SSL/TLSサーバー証明書の有効期間が最長47日に短縮されます。
本記事では、SSL/TLS証明書の基本から、有効日数短縮の背景とスケジュール、その影響をまとめています。
SSL/TLSサーバー証明書とは
SSL/TLSサーバー証明書は、Webサーバーとブラウザ間の通信を暗号化し、接続先の正当性を証明するための電子証明書のことを指します。
証明書には以下の情報が含まれます。
- 公開鍵
- ドメイン情報
- 認証局(CA)の署名
これにより、利用者は「このサイトは信頼できる」と判断できます。
図1:SSL/TLSハンドシェイクの概要(証明書を使った暗号化通信の開始手順)
この流れにより、通信が暗号化され、証明書で正当性が保証されます。
SSL/TLS証明書有効期間の短縮スケジュール
この記事を投稿する時点では最大398日(約13か月)でしたが、CA/Browser Forumで段階的に短縮することが決定しました。
| 期間 | 最大有効日数 | 備考 |
|---|---|---|
| ~2018/03 | 825日 | 過去の長期証明書(約27か月) |
| 2018/03~2020/09 | 825日→398日 | CA/Browser Forumで短縮開始 |
| 2020/09~2026/03/14 | 398日 | 本記事投稿時点の標準 |
| 2026/03/15~2027/03/14 | 200日 | 段階的短縮 |
| 2027/03/15~2029/03/14 | 100日 | 段階的短縮 |
| 2029/03/15以降 | 47日 | 最終短縮 |
有効日数が短くなることで更新頻度が高くなり、運用負担が増加すると考えられます。
ではなぜここまで期間を短縮するのでしょうか?
なぜ短縮されるのか?
以下の3つの理由が考えられます。
-
セキュリティ強化
有効日数を短くすることで秘密鍵漏えい時のリスクを最小化できる -
新暗号技術への迅速対応
古い証明書が環境に残る期間を減らし、新しい暗号アルゴリズムへの移行を容易にできる -
自動化促進
有効日数短縮により、手動管理は現実的でなくなるため、業界全体で自動化を推進できる
自動化の必要性
2029年以降、証明書更新は単純計算で年8回以上必要になります。
証明書更新業務を担当する現場では、手動更新し続けることで運用負荷が増大し、更新の遅れ・忘れるなどのヒューマンエラーのリスクが増加します。
これによりブラウザ警告表示やサービス停止があった場合、ビジネスに大きな影響を与えます。
図2:証明書の有効期限切れや不正な証明書で表示されるブラウザ警告
まとめ
SSL/TLS証明書の有効日数短縮は、セキュリティ強化のための重要な動きですが、運用現場には大きな負担をもたらします。
2029年以降は、証明書更新の自動化が必須です。ACMEプロトコルや証明書管理ツールの活用、証明書運用におけるワークフロー効率化など、今から準備を始めることが重要です。
参考文献