こんにちは!ペイメントシステム課の高木です!
Webサービスの運用に関わる皆様、SSL/TLS証明書の有効期限短縮への対策は万全でしょうか?
近年、Webサイトの安全性を高めるために証明書の有効期限をさらに短くしようとする動きが加速しています。
これまでの「手動での更新作業」のままでは、期限切れによるサービス停止のリスクが一段と高まることが予想されます。
今回は、この最新動向のポイントと、今から検討しておくべき対応策について詳しくまとめてみました。
SSL証明書の有効期間が47日に
2025年4月、電子証明書の標準化団体である「CA/Browser Forum(CA/Bフォーラム)」において、TLSベースライン要件(BR)の改正案が可決されました。
これにより、パブリックTLS証明書の最大有効期間を段階的に短縮していくロードマップが正式に決定しています。
これらがローンチされるのは2026年3月15日からで最終的には47日まで短縮されます。具体的なスケジュールは以下の通りです。
- 2026年3月15日より: 最大有効期間 200日(約6.5ヶ月)
- 2027年3月15日より: 最大有効期間 100日(約3.3ヶ月)
- 2028年3月15日より: 最大有効期間 47日(約1.5ヶ月)
- ※当初2029年と見込まれていましたが、現在の合意では2028年3月までに最終段階(47日)へ移行する計画となっています。
- ※当初2029年と見込まれていましたが、現在の合意では2028年3月までに最終段階(47日)へ移行する計画となっています。
AppleやGoogle等は、有効期間の短縮により以下のメリットを見込んでいます。
- 期間を縮めることによるセキュリティの向上
- 更新自動化の促進
参考:
Google フォーラム
https://groups.google.com/a/groups.cabforum.org/g/servercert-wg/c/bvWh5RN6tYI?pli=1
TLS 証明書の有効期間は 47 日へ短縮されることが決定(digicert)
https://www.digicert.com/jp/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days
つまり何をすればいいのか
それでは、現在Webサービス等を運用し、SSL/TLS証明書を利用している管理者は具体的にどのような準備を進めるべきでしょうか。
主な対応は以下の2点になるかと思われます。
- 認証局(CA)の選定と対応状況の確認
- 現在利用している証明書発行サービスが、短縮化スケジュールや自動発行プロトコル(ACME等)に対応しているかを確認してください。必要であれば、早期に移行の検討を始める必要があるかと思います。
- 現在利用している証明書発行サービスが、短縮化スケジュールや自動発行プロトコル(ACME等)に対応しているかを確認してください。必要であれば、早期に移行の検討を始める必要があるかと思います。
- 証明書更新プロセスの自動化実装
- 有効期間が47日まで短縮されると、手動での更新作業は現実的でなくなります。ACMEクライアントの導入や管理ツールの活用など、ヒューマンエラーが起きないシステムの構成を行うのが好ましいです。
- 有効期間が47日まで短縮されると、手動での更新作業は現実的でなくなります。ACMEクライアントの導入や管理ツールの活用など、ヒューマンエラーが起きないシステムの構成を行うのが好ましいです。
今後の運用で変わること
今回のSSL/TLS証明書の有効期間短縮がローンチされることによってほぼほぼ既存の手動更新での運用は変更を検討する必要が出てきます。
- 有効期間が短くなる(最終的に47日)ため、手動で更新作業を行っている場合、単純に作業頻度が上がります。これは人為的なミス(更新忘れ)のリスクを増大させます。
- 更新作業を人の手で行い続けるのではなく、ACMEプロトコル等を利用した自動化への移行が実質的な必須要件となります。これにより、更新運用自体は不要になり、管理負荷を大幅に軽減できます。
- クラウドサービスを利用している場合、プラットフォーム組み込みの証明書管理サービスを活用することで、自動化を容易に実現できます(例:AWS Certificate Manager (ACM)、Google CloudのManaged SSL Certificateなど)。これらマネージドサービスを利用すると自動化が圧倒的に楽です。
証明書更新自動化:ACMEプロトコルについて
証明書管理自動化において不可欠となるのが、ACME(Automated Certificate Management Environment)プロトコルです。
以下が自動化できます。
- 秘密鍵およびCSR(証明書署名要求)の生成
- 認証局(CA)への発行リクエスト送信
- ドメイン所有権の検証(Domain Validation)
- 発行された証明書の取得とサーバーへの自動インストール・反映
これらはACME対応の認証局(CA)の利用とACMEクライアントの導入をすることによって実現できます。
現在利用の認証局(CA)はACMEに対応しているもしくは対応予定はありますでしょうか。
参考:
ACMEについて(JPRS)
https://jprs.jp/pubcert/about/ACME/
まとめ
以上SSL証明書の有効期間短縮についてまとめてみました。
期間が短くなってまた対応が色々大変…かと思いますが、自動化を実現することで毎年更新の時期にドキドキしなくて済みますね。運用が減って、セキュリティ面も向上するのであれば悪い話ではないと思います。
それでは皆さんごきげんよう!
We are hiring!!
ROBOT PAYMENTでは一緒に働く仲間を募集しています!!!
