お知らせ 02-07-2018

業界全体の変更で排除される有効期間3年の証明

Vincent Lynch

UPDATE: 業界ルールにより、証明書の有効期間は短縮されていますが、私たちは2~6年の複数年プランを提供しており、それをシームレスにするための自動化も行っています。 2017年、認証局とウェブブラウザベンダーは、パブリックSSL/TLS証明書の基準を策定する業界団体であるCA/Bフォーラムにおいて、3年間の有効期間を持つTLS/SSL証明書を廃止することを決議しました。

この変更は2018年3月1日から適用されました。この日以降、パブリックSSL/TLS証明書の新しい最大有効期間は825日となりました。これは、2年間の有効期間を持つ証明書に更新プロセスのための期間を追加したものです。業界全体の要求であり、すべての認証局は、これに準拠する必要があります。 (追記:2020年9月からはさらに398日に短縮されました。)

これにより、DVおよびOV証明書の最大有効期間が、EV認証(EV)証明書と一致することになります。EV証明書は2007年に導入されて以来、最長2年間に制限されており、今回の変更による影響はありません。

デジサートは、2018年2月20日火曜日を以て、3年間の有効期間を持つ証明書の申請受付を終了しました。これは、業界で設定された期限までに、すべての申請を検証して発行するための十分な時間を確保するためです。

デジサートは、証明書の有効期間短縮を支持する活動の一環として、このCA/Bフォーラムの取り組みに賛同し、投票しました。

短いほど安全です

証明書の有効期間が短くなることは、管理者にとって面倒なことのように思われるかもしれませんが、この短縮により、Web PKIの機動性が向上します。インターネットでは、今日から39ヶ月後に期限切れとなる証明書の「ロングテール」を気にしなければなりません。

このような制約の下では、検証方法、署名アルゴリズム、鍵長などの業界標準に変更を加えても、完全に有効になるまでに3年以上を要することになります。この問題は、SHA-1署名アルゴリズムおよびRSA 1024ビット鍵の非推奨化の際にも起きました。これらのシナリオでは、エンドユーザーのセキュリティは、これらの証明書の本来の期限切れまで待つことができず、サイト運営者が証明書を有効期間の途中で、置き換えなければならない、意図的な停止につながっていました。

直感的に理解するのは難しいかもしれませんが、証明書の有効期間が短くなれば、有効期限切れを待つことが合理的になり、実際にメンテナンスの手間が減り、結果的にインターネットの安全性も高まります。

UP NEXT

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失