Googleからの発表

2023年3月初旬に開催されたCA/Bフォーラムでの会議の後、Googleは、すべてのSSLサーバ証明書の最大有効期間を90日に短縮する方針を発表しました。

この変更の発効日や期限はまだ決まっていませんが、SSL/TLSの証明書ライフサイクルに大きな影響を与えるものであることは間違いありません。

なぜ証明書の有効期限を短くするのか？

SSLサーバ証明書の有効期間の短縮は、過去10年以上にわたって継続的に行われてきた取り組みです。10年前は有効期間5年のSSLサーバ証明書を購入できましたが、それが有効期間3年、2年となり、2020年9月には現在の最大有効期間397日（13ヶ月）へと短縮されました。

なぜSSLサーバ証明書の有効期間が短くなるのでしょうか。その理由はシンプルに「有効期間が長ければ長いほど信頼性は低くなる」という考えが根底にあります。もちろん、この考え方は間違っておらず、より信頼性の高くセキュアな証明書を求める場合、長い有効期間内に発生する変化に対応できない可能性があります。

SSLサーバ証明書は、ブラウザがウェブサーバの身元を確認するために使用するものです。その情報を検証するにあたり、有効な期間が長ければ長いほど、その検証の信頼性は低くなります。

webサイトの所有者である企業にとっては、例えば、倒産や合併、企業情報の変更など、わずか1年の間にもさまざまな変化があると思います。そのため、最も信頼できるレベルの認証を維持するためには、情報を定期的に検証する必要がある。という考えがもとになっています。

SSLサーバ証明書の検証はどの程度定期的に行うのが良いのか

SSLサーバ証明書の検証をどの程度定期的に行うかは、議論の余地があると思います。業界の規制要件を決定するCA/BフォーラムにおけるGoogleの以前の担当者は、ドメインの検証情報の信頼性は6週間しか保てないという見解を示しています。90日はその約2倍となります。

現時点では、GoogleはCA/B フォーラムの認証局に対してアンケートを公開し、3月末までに表明した計画に対するフィードバックを求めています。その後、その提案したすべての変更点の施行日を発表することになると思われます。その状況に進展がありましたら、また当ブログなどでお知らせいたします。

今後のSSLサーバ証明書のライフサイクル

SSLサーバ証明書の更新にはいくつかの作業が発生します。審査を経て、証明書を発行、適切なサーバにインストール、そして証明書の有効期限が切れる前にリマインダーを設定しておく必要があります。現在はこれが1年単位で行われていますが、さらに有効期間が短くなった場合は、いかに手間をかけることなく運用できるかが鍵となります。

今後の証明書ライフサイクルに対応すべく、GMOグローバルサインでは、高速な証明書発行と高度な管理機能を併せ持つ次世代の電子証明書プラットフォーム「Atlas」の開発を進めており、ACMEサービスを含め、一部のエンタープライズ向け機能は提供可能な状況となっています。詳細はこちらをご確認ください。

新機能の提供開始などの情報につきましても随時お知らせしていきます。