|
TLS 証明書の有効期間に関する、ご案内
2025年4月14日
GeoTrust
TLS 証明書の有効期間は 47 日へ短縮されることが決定しました。
CA/B
フォーラムは、TLS ベースライン要件の改正を投票により採決しました。これに基づき、TLS 証明書の有効期間と、CA
による認証を経て証明書に含まれる情報の再利用期間を短縮するスケジュールが決定しています。証明書利用者がこの投票結果の影響を受けるのは、2026
年 3 月からです。
この投票は、CA/B
フォーラムで長らく論じられてきたもので、認証局とその顧客からのフィードバックを反映しながら、何度か改訂されてきました。投票は 2025 年 4
月 11 日に終了し、激しい議論が一段落したため、証明書業界は次の新たなステップに向けて計画を進められることになりました。
TLS 証明書の新しい有効期間に関するスケジュール:
今回の投票結果は、証明書の有効期間を 47 日に設定しており、自動化がないと立ち行きません。Apple からの提案に先立って、Google は最大 90 日の有効期間を提案していましたが、投票期間が始まった直後に Apple の提案に賛成票を投じました。
決定されたスケジュールは以下のとおりです。
証明書の最長有効期間が、次のとおり短縮されます。
本日から 2026 年 3 月 14 日までは、TLS 証明書の最長有効期間を 397 日とする。
2026 年 3 月 15 日以降は、TLS 証明書の最長有効期間を 200 日とする。
2027 年 3 月 15 日以降は、TLS 証明書の最長有効期間を 100 日とする。
2029 年 3 月 15 日以降は、TLS 証明書の最長有効期間を 47 日とする。
ドメインおよび IP アドレスの認証情報を再利用できる最長期間は、次のとおり短縮されます。
本日から 2026 年 3 月 14 日までは、ドメイン認証情報を再利用できる最長期間を 397 日とする。
2026 年 3 月 15 日以降は、ドメイン認証情報を再利用できる最長期間を 200 日とする。
2027 年 3 月 15 日以降は、ドメイン認証情報を再利用できる最長期間を 100 日とする。
2029 年 3 月 15 日以降は、ドメイン認証情報を再利用できる最長期間を 10 日とする。
2026 年
3 月 15 日以降、サブジェクトアイデンティティ情報(SII)の認証を再利用できる期間は、現在の 825 日から 398
日に短縮されます。SII は、OV(企業認証)証明書または
EV(拡張認証)証明書に記載される会社名などの情報、つまり証明書で保護されるドメイン名または IP
アドレスを除くすべての情報です。DV(ドメイン認証)証明書は、SII が記載されないため、この影響を受けません。
47 日とされた理由:
47 日というのは場当たり的な日数と思えるかもしれませんが、次のような式で導き出されました。
200 日 = 6 か月の最長日数(184 日)+ 1 か月(30 日)の半分(15 日) + 1 日分の余裕
100 日 = 3 か月の最長日数(92 日)+ 1 か月(30 日)の 4 分の 1(7 日) + 1 日分の余裕
47 日 = 1 か月の最長日数(31 日)+ 1 か月(30 日)の半分(15 日) + 1 日分の余裕
Apple が変更を求める根拠:
今回の投票で、Apple
は変更を求める根拠をいくつもあげており、そのなかでも特に注目すべき点がひとつあります。Apple が主張するのは、CA/B
フォーラムが世界に向けて長らく繰り返し伝えてきたことです。最長有効期間を段階的に短縮していけば、基本的に自動化が必須になり、証明書ライフサイクル
管理の有効性が上がるということです。
投票では、多くの理由から有効期間の短縮が必要であると主張されていますが、特に大きいのは証明書に含まれる情報の信頼性が時間の経過につれて徐々に低下するという点です。この問題に対処するには、情報を再認証する頻度を上げるしかありません。
また、CRL と OCSP
を使用する証明書失効システムが信頼できないということも指摘されています。実際、ブラウザでこれらの機能が無視されることは少なくありません。証明書失
効システムの問題点については、投票で大きく問題視されています。有効期間を短縮すれば、失効した可能性のある証明書の使用に伴う影響が軽減されます。
2023 年、CA/B フォーラムはこの考え方をさらに進め、有効期間の短い証明書を承認しました。7 日以内に失効し、CRL や OCSP
のサポートを必要としない証明書です。
新しい要件に関する混乱の解消:
新しい要件については、次の 2 点が混乱を招く可能性があります。
要件の変更は 2026 年、2027 年、2029 年の 3 回にわたりますが、2 回目と 3 回目の間隔は 1 年間ではなく 2 年間です。
2029 年 3 月 15 日以降、TLS 証明書の最長有効期間は 47 日になりますが、ドメイン認証情報を再利用できる最長期間は 10 日間しかありません。手動での再認証も技術的には可能ですが、失敗やサービス中断の原因となります。
認証局として当社
がお客様からたびたび受ける質問のひとつは、証明書を置き換える頻度が上がると追加料金が発生するのではないかということです。答えは「いいえ」です。料
金は年間プランになっています。また自動化を採用すると、自然と短期間で証明書を置き換えるサイクルに移行する傾向が見られます。
こうした理由から、また 2027 年には証明書の有効期間が 100 日に短縮されて手動処理の負担がより大きくなるため、自動化の採用は 2029 年の変更よりかなり前から急速に進むものと、私たちは予想しています。
証明書ライフサイクル管理の自動化に関する Apple の声明に反論の余地はありませんが、これは当社が長年準備を進めてきたものです。デジサートは
Trust Lifecycle Manager と CertCentral を通じて複数の自動化ソリューションを提供しており、ACME
にも対応しています。デジサートの ACME では、DV、OV、EV 証明書の自動化が可能であり、ARI(ACME Renewal
Information)もサポートされます。
自動化を最大限に活用する方法に関して、詳細はお問い合わせください。
FAQ:
証明書の有効期間の短縮は、自動化要件にどのような影響を与えますか?
新たな自動化要件はありません。ほとんどの自動化プラットフォームは既に証明書の更新を処理しています。真の課題は、認証局(CA)が増加するリクエスト数に対応できるインフラを備えているかどうかです。
DigiCertは過去10年間、インフラへの投資を続けてきました。SectigoをはじめとするCAは最近、最大8倍の証明書の発行と検証に対応するためのアップグレードを発表しました。Let's Encryptはすでに容量関連の障害に直面しています。
1年、2年、または3年の有効期間を持つTLS証明書は、今後も購入できますか?
はい。複数年の証明書の注文は引き続き受け付けますが、将来変更される可能性があります。証明書の発行および再発行は、以下のどちらか短い方に基づいて行われます。
CA/ブラウザフォーラムで許可されている最大有効期間、または
注文の有効期限までの残り期間。
1年間の注文も同様のプロセスで行われます。注文の有効期限がそれより短い場合を除き、最大有効期間で再発行が行われます。
証明書の有効期間に関する今後の変更について公表されている日付は正確で確定していますか?
はい。公表されている日付は正確に確定しています。
本日から2026年3月15日まで、TLS証明書の最大有効期間は398日です。
2026年3月15日以降、TLS証明書の最大有効期間は200日になります。
2027年3月15日以降、TLS証明書の最大有効期間は100日になります。
2029年3月15日以降、TLS証明書の最大有効期間は47日になります。
これらの変更は、現在397日または200日間有効な既存の証明書に影響しますか?
いいえ。有効な証明書は、元の有効期間全体にわたって有効です。ただし、新しい有効期限の適用後に再発行する場合、新しい証明書の有効期間は、以下のどちらか短い方となります。
新しい有効期限、または、ご注文の残り期間。
組織認証(OV)の制限は証明書の有効期間の制限に従いますか?
いいえ。有効な証明書は元の有効期間まで有効です。ただし、新しい制限が有効になった後に再発行した場合、新しい証明書の有効期間は、以下のどちらか短い方となります。
新しい最大制限、または、ご注文の残り期間。
ドメイン認証(DCV)の制限は証明書の有効期間の制限に従いますか?
はい。DCVの制限は2029年まで証明書の有効期間の制限と一致します。2029年に証明書の有効期間が47日に短縮されると、DCVの検証期間も10日に短縮されます。
GeoTrustとは
SSL証明書、暗号化技術と第
三者認証サービスにおける、全世界シェア第二位のリーディングブランドです。
|
