CA/ブラウザフォーラムは、今後4年間にわたりSSL/TLS証明書の寿命を大幅に短縮し、2029年から最終的な寿命をわずか47日とすることを決議した。
CA/ブラウザ・フォーラムは、認証局(CA)と、ブラウザ開発者を含むソフトウェア・ベンダーが、インターネット通信で使用されるデジタル証明書のセキュリティ基準を確立し、維持するために協力しているグループである。
メンバーには、DigiCertやGlobalSignなどの大手CAや、Google、Apple、Mozilla、Microsoftなどのブラウザベンダーが含まれる。
今年初め、アップルは証明書の寿命を短縮する動議を提案し、Sectigo、グーグル・クローム・チーム、モジラはこれを支持した。
この提案は、証明書の寿命を現在の398日から2029年3月の47日まで、今後4年間かけて徐々に短縮するというものだ。
その目的は、古くなった証明書データ、非推奨の暗号アルゴリズム、漏洩した証明書に長期間さらされることによるリスクを最小限に抑えることである。また、企業や開発者がTLS証明書の更新やローテーションを自動化することで、期限切れの証明書でサイトが運営される可能性を低くすることも奨励している。
SSL/TLS証明書は、データを暗号化し、ウェブサイトを認証することで、インターネット上での安全な通信(HTTPS)を可能にするデジタルファイルである。
SSL/TLSは接続を暗号化するため、ウェブサイトのフォームに入力されたパスワードやクレジットカードのデータなどの機密データを、攻撃者が途中で傍受することはできません。
これらの証明書はまた、ウェブサイトを認証し、ユーザーとサーバー間でやり取りされる情報が改ざんされていないことを意味するデータの完全性を保証するためにも使用される。
これらの証明書が更新されずに期限切れになると、ユーザーはブラウザに警告を表示し、接続がプライベートまたはセキュアでないことを通知する。
現在、これらの証明書の寿命とドメイン・コントロール・バリデーション(DCV)は398日だが、今日のセキュリティ状況では長すぎるというのが認証局の大方の意見だった。
賛成25票、反対0票で、CA/ブラウザ・フォーラムは現在、以下のように寿命を短縮する裁定を下している:
- 2026年3月15日以降、証明書の寿命とDCVは200日に短縮される。
- 2027年3月15日以降、証明書の寿命とDCVは100日に短縮される。
- 2029 年 3 月 15 日以降、証明書のライフサイクルは 47 日、DCV は 10 日に短縮される。
証明書のライフサイクルの短縮は、管理のオーバーヘッドをもたらし、複数のドメインを扱う人にとっては大きな負担となるに違いない。しかし、証明書を要求する企業の再検証をより頻繁に行わせ、自動化を促進し、最終的にはエコシステムをより機敏で安全なものにすると期待されている。
このように証明書の寿命が徐々に短くなることで、影響を受ける事業者は、クラウド・プロバイダー、Let’s Encrypt、またはACMEプロトコルをサポートする証明書プロバイダーが提供するような、証明書の自動更新システムを導入し、移行するのに十分な時間を得ることができる。
Comments