※当記事は、2024年10月16日に海外支社にて英文で公開されたものを、グローバルサインカレッジ編集部で翻訳したものです。
※2024年11月21日追記
CA/Bフォーラムでのさらなる議論とコミュニティからのフィードバックを受け、Apple社の提案が変更されました。
最終的な最大有効期間が45日から47日に少し伸び、タイムライン確定前にさらなる議論が行われる可能性が高いことを示唆しています。また、段階的な短縮化スケジュールも変更され、事実上は当初の期日が延期されたような提案になりました。
詳しくは下記の表を参照ください。
この10年間でSSLサーバ証明書証明書の有効期間は劇的に短くなっておりますが、この傾向はセキュリティを強化し、危殆化リスクを軽減することを目的として、米Google社が最初に推し進めたことから始まりました。
先週、米Apple社が2027年までにSSLサーバ証明書の最大有効期間をわずか45日に短縮する投票草案を提出し、デジタル・セキュリティの世界で大きな話題となりました。電子証明書ベンダーやブラウザベンダー等で構成される業界団体「CA/Bフォーラム」にて発表されたこの草案は、有効期間を短縮することでウェブセキュリティを強化する目的でGoogleを含む主要ブラウザが主導する業界の幅広い取り組みと一致しています。しかしこの最新動向は、SSLサーバ証明書の管理方法に大きな変化が起こることを意味しているといえます。
有効期間45日の推進
現在、インターネット上で公的に使用されるSSLサーバ証明書の最長有効期間は398日です。しかし、Apple社の提案では、有効期間を数年かけて徐々に短縮するロードマップが示されており、2025年、2026年に重要なマイルストーンが設定され、最終的に2027年4月、最大45日となるよう提唱されています。併せて注目すべき内容としては、この提案にはドメイン審査情報(Domain Control Validation、以下DCV)の再利用期間短縮も含まれており、最終的に2027年9月にはわずか10日に短縮されるといったものです。
日付 | 最大有効期間 | DCV再利用期間 |
---|---|---|
200日 | 200日 | |
100日 | 100日 | |
- |
Apple社によるとSSLサーバ証明書の有効期間を45日間に短縮することは潜在的なベストプラクティスを掘り起こした提案であり、有効期間を短くすることで見えていないセキュリティリスクの穴を大幅に狭めることができると記載されています。SSL業界がこのような厳格なライフサイクルに移行することで、利用ユーザはSSLサーバ証明書を常に注意して管理することを余儀なくされ、有効期限切れや誤発行によって引き起こされるセキュリティ事故の可能性を減らすことができます。
SSLサーバ証明書の管理者側の懸念
SSLサーバ証明書の有効期間短縮は、電子証明書の自動化ツール採用の増加傾向と足並みを揃えて進行しています。電子証明書の自動化ツールは、SSLサーバ証明書だけでなく近年の電子証明書全般の有効期間短縮化に伴い、より頻繁に更新作業が必要となるため、今後の電子証明書管理には不可欠となってきます。ACME(Automated Certificate Management Environment)は、特に中小企業(SMB)にとって負担となる、頻繁な電子証明書の入れ替え作業を便利にするための重要なプロトコルです。
有効期間の短縮化がもたらすセキュリティ上のメリットは明らかですが、同時に利用者側の運用上、大きな課題も生じます。SSLサーバ証明書の取得やインストール、更新などといった業務を人的に行っている利用者の割合はまだまだ多く、より一層の作業負担がかかることが想定されます。一般的には、有効期限の異なるSSLサーバ証明書を複数利用しているケースが大多数であるため、有効期限切れが発生して、サービスの中断を引き起こすリスクの増大につながる懸念もあります。
具体的な対策
この懸念の対応策として、ACMEを有効に活用することでSSLサーバ証明書の発行、インストール、更新を自動化することができ、45日間という短いサイクルであっても、人手を介さずに必要な作業を実施することができます。これは、手動での業務負担や作業時間を削減するのと同時に、作業に伴う人的ミスの発生を回避することができ、中小企業にとっても非常に有益です。
Apple社の提案に従い2027年までに 有効期限45日のSSLサーバ証明書へ移行することは、特に小規模事業者にとっては困難に思えるかもしれませんが、ACMEのような自動化ツールによって実現が可能となります。ACMEはセキュリティリスクを減らしつつ、手作業による管理の落とし穴を回避することができるのです。
GMOグローバルサインでは、ACME対応SSLサーバ証明書を提供しております。申請から発行、更新といった一連の手続きの自動化にご興味をございましたら、お気軽にお問い合わせください。CA/Bフォーラムで議論されている内容につきましては、決定次第、改めてお知らせいたします。