CA/Browser Forumは、SSL/TLS証明書の最大有効期間を2029年3月までに段階的に47日へと大幅に短縮することを決定した。この決定は、Webサイトのセキュリティ基盤を強化する一方で、証明書管理における自動化への移行を強く促すものとなるだろう。
CA/Browser Forumが決定、段階的に有効期間を短縮へ
インターネット上の通信を安全にするための標準策定を行う業界団体「CA/Browser Forum」が、SSL/TLS証明書の有効期間に関する重要な決定を下した。このフォーラムには、DigiCertやGlobalSignといった主要な証明書認証局(CA)や、Google、Apple、Mozilla、Microsoftなどのブラウザベンダーが参加している。
今回の決定は、Appleがかねてより提唱し、Google Chromeチーム、Mozilla、証明書認証局のSectigoなどが支持した提案に基づくものだ。2024年現在、SSL/TLS証明書の最大有効期間は398日であるが、これが段階的に短縮され、最終的には2029年3月15日以降、わずか47日となる。
具体的なスケジュールは以下の通りだ。
- 2026年3月15日以降: 新規発行される証明書の最大有効期間とドメインコントロール検証(DCV)の有効期間が200日に短縮される。
- 2027年3月15日以降: 最大有効期間とDCV有効期間が100日に短縮される。
- 2029年3月15日以降: 最大有効期間が47日に、DCV有効期間が10日に短縮される。
この決定は、CA/Browser Forumにおいて、証明書発行機関側で賛成25、反対0、棄権5(Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems, TWCA)という結果で可決された。証明書を利用する側の主要ブラウザベンダー(Apple, Google, Microsoft, Mozilla)は全会一致で賛成した。
そもそもSSL/TLS証明書とは何だろうか。これは、Webサイトとユーザーのブラウザ間の通信を暗号化(HTTPS化)し、パスワードやクレジットカード情報といった機密データを第三者による盗聴から守るためのデジタルファイルである。同時に、アクセスしているWebサイトが本物であることを証明し、送受信されるデータの完全性、つまり改ざんされていないことを保証する役割も担う。
現在広く使われている398日という有効期間は、今日の急速に変化するセキュリティ環境においては長すぎると、多くの関係者が認識していた。証明書の有効期限が切れて更新されない場合、ユーザーはブラウザ上で「この接続はプライベートではありません」といった警告を目にすることになり、サイトの信頼性を損なう原因となる。
なぜ短縮?セキュリティ強化と自動化推進が狙い
有効期間の大幅な短縮には、明確な理由がある。主な目的は、インターネット全体のセキュリティレベルを引き上げることだ。
第一に、侵害リスクの低減である。証明書やそれに関連する秘密鍵が万が一漏洩・盗難された場合でも、有効期間が短ければ、攻撃者がそれを悪用できる期間は大幅に短縮される。これにより、中間者攻撃や偽の証明書を用いたフィッシング詐欺など、長期的な有効性を悪用する脅威のリスクが低減される。
第二に、証明書管理の自動化促進である。有効期間が47日となれば、約6〜7週間ごとに更新が必要となる計算だ。数百、数千もの証明書を管理する組織にとって、手動での更新は現実的ではなくなる。この変更は、ACME(Automated Certificate Management Environment)プロトコルなどを利用した証明書ライフサイクル管理(CLM)ツールの導入を強く後押しすることになる。Let’s Encryptのような無料の証明書発行サービスや、多くのクラウドプロバイダー、商用CAが提供する自動更新システムへの移行が加速するだろう。
第三に、暗号アジリティ(Crypto-agility)の向上である。有効期間が短いほど、より新しい、強力な暗号アルゴリズムへの移行が容易になる。これは、将来的に登場する可能性のある量子コンピューティングのような、既存の暗号技術を脅かす新たな脅威に迅速に対応するための備えとも言える。Sectigo社の最高コンプライアンス責任者であり、CA/B Forumの副議長でもあるTim Callan氏は、「今日の脅威ランドスケープにおける俊敏性と積極的なリスク管理の重要性を強調し、量子時代の到来に備えるものです」と述べている。
管理負担増大への懸念と自動化への課題
セキュリティ強化という大義名分は理解できるものの、この変更が現場にもたらす影響、特に管理負担の増大に対する懸念は根強い。
有効期間が短縮されれば、証明書の更新頻度は必然的に高まる。信頼性の高い自動化システムが導入されていない場合、人為的なミスによる更新漏れや、それに伴うサービス停止のリスクが増加する。特に、多数のドメインやレガシーシステムを抱える組織、あるいはITリソースが限られる中小企業や個人開発者にとっては、大きな負担となる可能性がある。
また、自動化への移行にはコストも伴う。自動化ツールの導入や運用には費用がかかり、証明書発行機関が短期間の証明書に対してどのような価格設定を行うかも不透明だ。管理するドメイン数が多い企業やマネージドサービスプロバイダーにとっては、累積的なコストとリソース配分が大きな課題となる可能性がある。
とはいえ、この流れは避けられないものとなりそうだ。GlobalSign社の製品管理担当バイスプレジデントであるMohit Kumar氏は、「証明書の有効期間が47日に短縮されることで、企業はもはや証明書を自動化するかどうかの選択肢を持たなくなります。このはるかに短いライフサイクルは、組織に対して証明書管理への積極的かつ継続的な警戒を強いるものです」と指摘する。
段階的な有効期間の短縮は、影響を受ける組織が自動化システムを導入し、移行するための準備期間を与えるものとされている。今後数年間で、証明書管理の自動化は、Webサイト運営における「推奨」から「必須」の要件へと変わっていくだろう。企業や開発者は、この変化に備え、早期に自動化戦略を検討・導入することが求められる。
Sources
