フィッシング対策協議会(東京都中央区、会長:岡村 久道)の証明書普及促進ワーキンググループ(主査:田上 利博)は、「SSL/TLSサーバー証明書における 有効期間短縮化について(以下、本解説ドキュメント)」を公開しました。
はじめに
2025 年 4 月、パブリックな証明書の要件を定める業界団体 CA/Browser Forum( CABF )において SSL/TLS サーバー証明書(サーバー証明書)の有効期間を段階的に短縮することが投票によって可決されました。これによって、最終的に 2029 年 3 月 15 日以降に発行されるサーバー証明書の最大有効期間は 47 日にまで短縮されます。本解説ドキュメントでは、このサーバー証明書の有効期間を短縮する目的について解説します。
CABF での議決内容
以下のスケジュールで段階的にサーバー証明書の最大有効期間が短縮されます。また、あわせてドメイン名使用権の認証情報および組織の審査に関連する認証情報の再利用期間も短縮されます。
| 証明書の発行日 | SSL/TLSサーバー証明書の最大有効期間 | ドメイン名使用権の認証情報の再利用期間 | 組織の審査に関連する認証情報の再利用期間 |
|---|---|---|---|
| ~ 2026 年 3 月 14 日 | 398 日 | 398 日 | 825 日 |
| 2026 年 3 月 15 日以降 | 200 日 | 200 日 | 398 日 |
| 2027 年 3 月 15 日以降 | 100 日 | 100 日 | |
| 2029 年 3 月 15 日以降 | 47 日 | 10 日 |
背景
CABF とは、パブリックなサーバー証明書、 S/MIME 証明書、コードサイニング証明書などの電子証明書を発行する機関(認証局: Certificate Authority 以下、CA )と、ブラウザーを提供する Google、Apple、Microsoft、Mozilla などの主要ブラウザーベンダーで構成される標準化団体です。
サーバー証明書の最大有効期間が短縮される最大の理由は、証明書そのものの信頼性向上です。証明書に含まれる情報は認証局が審査を実施した時点で確認された情報です。しかし、その後、実際のドメイン名の登録者や組織の情報などが変更になる可能性があります。そのため、証明書は発行から時間が経過するほど、含まれる情報が変更されている可能性が高まり、その信頼性が低下していきます。最大有効期間を短縮することで、誤った情報を含む証明書が存在するリスクを低減できます。
また、インターネットの利用、そしてサーバー証明書の利用が増加する一方で証明書の有効性を確認する仕組みである OCSP や CRL がブラウザーの表示やアプリケーションサイズの足枷になっている課題があります。これは素早いウェブの表示を求める利用者のニーズも相まって証明書の有効期間を短くすることにより、証明書の確認を減らす意図があります。
サーバー証明書の有効期間短縮の歴史
2025 年 7 月時点でサーバー証明書の最大有効期間は 398 日となっていますが、これまでにも過去段階的にサーバー証明書の有効期間が短縮されてきました。
- 2012 年 7 月
- 最大 5 年( 60 カ月)に短縮
- 2016 年 7 月
- 最大 39 カ月に短縮
- 2018 年 3 月
- 最大 825 日(約 27 カ月)に短縮
- 2020 年 9 月
- 最大 398 日に短縮
- 2023 年 3 月
- Google が最大 90 日を提案
- 2024 年 11 月
- Apple が 2028 年までに最大 47 日を提案
- 2025 年 4 月
- CABF において段階的な有効期間短縮を可決
- 2026 年 3 月 15 日以降
- 最大 200 日に短縮
- 2027 年 3 月 15 日以降
- 最大 100 日に短縮
- 2029 年 3 月 15 日以降
- 最大 47 日に短縮
サーバー証明書の最大有効期間短縮の対象となるのは、すべてのパブリック SSL/TLS サーバー証明書で、プライベート SSL/TLS サーバー証明書はこの影響を受けません。
サーバー証明書の有効期間短縮に対応するためには
サーバー証明書の最大有効期間短縮化に対応するためには、証明書のライフサイクル全体を自動化することが不可欠です。 2029 年 3 月 15 日以降、サーバー証明書の最大有効期間は 47 日になりますが、 CA がドメイン名使用権の認証情報を再利用できる最長期間は 10 日間まで短縮される( 2026 年 3 月では 200 日、2027 年 3 月では 100 日に削減されます)ため、認証作業の頻度が増加します。手動での再認証も技術的には可能ですが、失敗やサービス中断が懸念されています。
なお、OV 証明書・EV 証明書の組織を認証する際に利用する組織の実在性等の認証情報については、再利用期間の短縮が 398 日までとなっています。ただし、ドメイン名使用権の確認はすべての証明書の発行時に必要なため、 OV 証明書・EV 証明書においても、ドメイン名使用権の認証情報の、再利用期間短縮の影響を受けます。
2026 年にはサーバー証明書の有効期間が 200 日に短縮されるため、従来通りの年次の作業とは全く違った期限管理が必要になり手動処理、運用の負担がより大きくなります。サーバー証明書の更新自動化の導入は 2029 年の変更よりも前に急速に進むものと予測しています。
まとめ
これまでも、セキュリティリスクを低減するためにサーバー証明書の最大有効期間が短縮されてきました。証明書の有効期間短縮が進む中で、運用の効率化とセキュリティを維持するために、証明書のライフサイクル全体を自動化することが不可欠です。証明書ライフサイクルを自動化するツールを活用することによって、サーバー証明書の管理が容易となり、Web サイトのセキュリティ保護と有効な証明書の維持がこれまで以上に簡略化されます。
また、インターネットセキュリティの向上、管理オーバーヘッドの削減、Web サイト運営者とサイト訪問者の双方にメリットがあります。
サーバー証明書はさまざまなウェブサービスに利用されており、サーバー証明書の有効期限切れによるサービス中断というインシデントが起こる可能性があります。今後有効期間が短縮されることにより、企業・組織は証明書のライフサイクル全体を自動化することで、これらのリスクを軽減することが可能になります。
補足情報
サーバー証明書を提供する CA では、証明書のライフサイクル全体を自動化に関する情報を公開していますので参考にしてください。
<証明書普及促進ワーキンググループ 構成メンバー>
主査:田上 利博 (サイバートラスト株式会社)
副主査:稲葉 厚志 (GMOグローバルサイン株式会社)
<会員組織>
市原 創(キヤノンITソリューションズ株式会社)
林 正人(デジサート・ジャパン合同会社)
加藤 孝浩(TOPPANエッジ株式会社)
喜多 浩之(セコムトラストシステムズ株式会社)
佐藤 桂史郎(一般財団法人日本情報経済社会推進協会)
東條 雅史(一般財団法人日本情報経済社会推進協会)
中田 健志(株式会社日本レジストリサービス)
中津 圭輔(HENNGE株式会社)
福田 誠(HENNGE株式会社)
又江原 恭彦(株式会社ラック)
<本件に関するお問い合わせ先>
<報道関係からのお問い合わせ先>