CA/Browserフォーラム(CA/Bフォーラム)はSSL/TLS証明書の最大有効期間を現在の398日から、2029年3月15日までにわずか47日に短縮する提案を承認した件について、さらっと流してしまっていた情報だっだのですが、先日、証明書更新自動化の件について話がでてきたので、備忘録としてここに残しておきます。
コトの発端は、Appleをはじめとする主要なウェブブラウザは、公開証明書のライフサイクルの短縮を提唱したことからはじまります。その後、Sectigoが2025年1月30日に証明書期間の短縮の支持を表明。そこから、2025年4月14日にCA/B フォーラムが証明書期間の短縮を承認するという流れになりました。
目次
CA/B フォーラム(Certification Authority/Browser Forum)とは、
CA/Bフォーラム(Certification Authority/Browser Forum)は、電子証明書を使ったインターネット通信の安全性と信頼性を向上させるためのガイドラインを策定している国際的な非営利団体です。
主なメンバーは、SSL/TLS証明書を発行する認証局(CA)と、それらの証明書を検証してウェブサイトの信頼性をユーザーに示すウェブブラウザベンダー(例: Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edgeなど)です。
CA/Bフォーラムは、インターネット上のセキュリティを強化するために、以下の役割を担っています。
SSL/TLS証明書の発行・管理に関する基準の策定
ウェブサイトの暗号化に用いられるSSL/TLS証明書(特にウェブサイトの身元を保証するサーバー証明書)が、どのような基準で発行され、管理されるべきかという「Baseline Requirements」などのガイドラインを策定しています。これにより、認証局は統一された高いセキュリティ基準に沿って証明書を発行することが求められ、ブラウザはそれらの基準を満たさない証明書を信頼しないことで、ユーザーを保護します。
インターネットの信頼性向上
認証局とブラウザベンダーが協力し、デジタル証明書の信頼性を確保することで、フィッシング詐欺や中間者攻撃などの脅威からインターネットユーザーを保護し、安全なオンライン環境の構築に貢献しています。
業界標準の推進
フォーラムで策定されるガイドラインは、事実上の業界標準として広く受け入れられています。例えば、EV SSL証明書(Extended Validation SSL Certificate)のガイドラインもCA/Bフォーラムによって作成されました。
情報の公開と透明性
ガイドラインの策定プロセスは公開されており、メーリングリストや会議を通じて議論が行われます。メンバーによる提案と投票によってガイドラインが改訂されます。
現在のTLS/SSL 証明書の有効期限
現在のTLS/SSL 証明書の有効期限は、397 日(約 13 か月)です。これは、2020 年 9 月 1 日に制定されました。
この日付より前は、証明書の有効期限は 825 日でした。
それが今回、2026年3月15日には証明書の最大有効期間が200日に短縮され、2027年3月15日に100日まで短縮される。最終的に2029年3月15日には、最大有効期間がわずか47日にまで短縮されるということです。
証明書期間が短縮されることで発生するデメリット
当然と言えば当然なのですが、この動きに対して、侵害された証明書が悪用される可能性のある期間を制限し、セキュリティを強化することを目的としてとしていますが、実用性について懐疑的な意見が多くでています。
TLS/SSL 証明書は、一度でも再発行・再インストールの手続きを怠ると、hptts接続がDefaultとなった現在のWebサイトでは”危険なサイトですよ!”とアラートされてしまいます。
47日、約1か月半経過する度に証明証を再発行し再インストール作業を忘れずに行うことは中々の手間となります。
対応しなければなくなれば、当然、証明書を更新する為の人手も必要になりますし、工数も、コストもかかります。更新をすっかり忘れてしまうこともあるでしょう。
結果、すべての証明書ローテーションを自動化する必要性に迫られることになります。サーバーを新たに構築したら、証明書ローテーションを自動化する設定も忘れてしまう人もでてくるかもしれません。。
また、動きがあればご報告します。
今日も一日頑張りましょう!