ブログ  >   証明書管理   >   証明書失効に関する業界タイムライン
証明書管理 08-28-2025

証明書失効に関する業界タイムライン

Stephen Davidson
Revocation Blog Hero

TLS証明書の失効においては、タイミングがすべてです。業界規定では、認証局(CA)が対応すべき期限が明確に定められており、その締め切りは最短で24時間の場合もあります。

短い対応期限には迅速な対応が求められます。このガイドでは、証明書失効のトリガーとタイムライン、そしてコンプライアンス維持トラスト確保のために自動化が不可欠である理由を解説します。

TLS証明書の失効:トリガーとタイムライン

特定の事象が発生すると、認証局(CA)はTLS証明書の失効および再発行を行う必要があります。トリガーのひとつは、もはや安全な通信を提供できない証明書が利用者保護のために失効すべき場合です。たとえば、Heartbleedのような業界全体に影響を与える脆弱性がその一例です。コンプライアンス上の問題も失効の要因となり、TLS証明書または認証局そのものに起因する場合があります。

失効事象が発生した場合、CAはTLS Baseline Requirementsのセクション4.9.1.1「Reasons for Revoking a Subscriber Certificate」で定められた業界ルールに従う必要があります。この要件では、証明書を失効させるべき状況と対応期限が定義されており、24時間以内に対応すべき場合もあれば、5日以内に対応が認められる場合もあります。CAは、単一証明書であっても大量失効であっても、これらの期限を遵守しなければなりません。

このような業界要件により、迅速な失効・再発行に対応できないシステムでは、公開トラストのTLSサーバ証明書を使用すべきではありません。

24時間以内の失効が必要な原因

TLS Baseline Requirementsでは、以下の状況において24時間以内の失効が必要とされています。

  1. サイト所有者が失効を要求した場合
  2. 適切な認可なしに証明書が発行された場合
  3. 秘密鍵が盗難・漏洩・容易に解読された場合
  4. CAがドメイン所有者の管理権限を確認できなくなった場合

5日以内の失効が必要な原因

TLS Baseline Requirementsでは、5日以内に失効を行うべき別の要因も定められています。これには、証明書またはCAに関するコンプライアンス違反を含むさまざまなケースが該当します。

例として以下が挙げられます。

  • 不正または不適切な証明書の使用
  • 証明書情報の誤り
  • 不適切な証明書発行
  • 脆弱性のある鍵や弱い暗号鍵の使用

CAによる失効イベント対応の計画

Mozilla Root Store Policyの最近の改訂により、CAは証明書失効のタイムラインやCAの義務について、加入者とより頻繁に情報共有することが求められています。

改訂されたMozillaポリシーでは、特に大量失効イベントに備えた事前計画および手順のテストを義務付け、得られた知見を継続的な改善プロセスに反映することを要求しています。これらの計画は毎年第三者監査を受ける必要があります。

また、CAはCommon CA Database(CCADB)が定めるガイドラインに従い、Bugzilla上でセキュリティインシデントを公開報告することが求められています。これにより、複数のルートストアプログラム間での連携が強化されます。

これらのガイドラインでは、CAが問題のある証明書に関する調査・対応の詳細なタイムライン、影響を受けた証明書の完全な一覧、および失効サイクルを報告することが求められています。これらの報告は、要件への準拠状況についてコミュニティの精査を受けます。

TLS自動化の重要性

組織は、失効イベント発生時に効果的に対応できるよう、事前準備を行うことが可能です。すべての混乱を防ぐことはできませんが、要求されるタイムライン内で対応する現実的な体制を整えることができます。

こうした事前対策は長期的にも有益であり、日常的なTLS証明書ライフサイクル管理を容易にし、今後予定されている業界変更への準備にもなります。たとえば、TLS Baseline Requirementsに基づき、TLS証明書の最長有効期間は段階的に短縮される予定です。まず398日から200日へ、その後100日、最終的には47日にまで短縮されます。これらの変更により、組織はより頻繁かつ迅速に証明書を更新できる柔軟性を身につける必要があります。

組織が失効イベントへの備えを強化するための鍵は次の通りです。

  • システムが証明書の失効・再発行を迅速かつ中断なく処理できるようにすること。

  • 証明書インベントリを定期的に確認し、保有数と利用場所を把握すること。

  • 自動化された証明書ライフサイクルプロセスを導入し、迅速な対応と準備態勢を整えること。

自動化ソリューションをお探しですか?

デジサートは、Trust Lifecycle ManagerおよびCertCentralを通じて複数の自動化ソリューションを提供しています。これには、拡張REST API、ACME対応およびその他業界標準プロトコルのサポートが含まれます。DigiCertのACMEは、DV、OV、EV証明書の自動化を可能にし、ACME Renewal Information(ARI)のサポートも提供します。

さらにデジサートは、迅速な失効処理に対応できないシステムにより適したプライベートトラストTLSサーバ証明書ソリューションも提供しています。

詳細を知りたい方、または自動化が貴社の環境にどのように適合するかを確認したい方は、こちらからお問い合わせください。デジサートの専門家が最適な選択肢をご案内します。

関連記事

特集記事

blog url
証明書管理04-14-2025

TLS 証明書の有効期間は 47 日へ短縮されることが決定

blog url
X9 PKI Blog Hero
PKI (公開鍵基盤)05-08-2025

X9 PKI を使うべきタイミングとは?

blog url
TrustSDK Blog Hero
Device trust07-30-2025

すぐに実装できる“信頼の”セキュリティ:TrustCore SDK がオープンソースに

  • DigiCert Logo

    法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。