2025年4月14日、CA/BフォーラムからTLS証明書の有効期限を段階的に短縮する方針が発表されました。
最終的には、証明書の有効期限がわずか47日間になります。
証明書の最長有効期間が、次のとおり短縮されます。
本日から 2026 年 3 月 14 日までは、TLS 証明書の最長有効期間を 397 日とする。
2026 年 3 月 15 日以降は、TLS 証明書の最長有効期間を 200 日とする。
2027 年 3 月 15 日以降は、TLS 証明書の最長有効期間を 100 日とする。
2029 年 3 月 15 日以降は、TLS 証明書の最長有効期間を 47 日とする。
引用元:
https://www.digicert.com/jp/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days
Q.今、ACM(AWS Certificate Manager)パブリック証明書使っているけど大丈夫?
A.2025/12/24時点では大丈夫です!
ACMパブリック証明書には自動更新機能があります。
ACM は証明書を自動的に更新するか (DNS 検証を使用している場合)、有効期限切れが近づくと E メール通知を送信します。これらのサービスは、パブリック ACM 証明書とプライベート ACM 証明書の両方に対して提供されます。
引用:https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/managed-renewal.html
ただし、CA/Bフォーラムによる有効期限短縮発表後、AWSの公式方針はまだ発表されていない(されるのか?)ため、今後のアップデートには注意が必要です。
Q.今後、証明書を選択するのに考えなければならないことは?
本ブログでは、AWS利用を前提とします。
-
DV証明書を利用したい場合
- ACM(AWS Certificate Manager)パブリック証明書であれば、AWSが自動更新してくれます(※2025/12/24現在)
-
OV/EV証明書を利用したい場合
- 現時点でAWSにはOV/EV証明書の自動更新機能がありませんので、これらを利用する場合は運用方法の見直しが必要です
TLS証明書の認証レベル(EV・OV・DV)の違いは、以下のサイトに詳しく記載がありますので、ご参照ください。
https://www.cybertrust.co.jp/blog/ssl/knowledge/certificates-types.html
まとめ
有効期限の短縮はセキュリティ強化という重要な動きですが、OV/EV証明書ではもともと高い運用コストがさらに増えます。今後のAWS公式発表を注視しながら、早めに運用方法の見直しを検討することをおすすめします。
クリスマス感のないブログですみません!(笑)