CA/B フォーラム 02-18-2020

1年証明書に対するポジションに対して

Dean Coclin
Blog | DigiCert

今週、スロバキアのブラチスラヴァで行われたCA / ブラウザフォーラムにおいて、 Appleが9月1日以降に発行されるパブリック証明書は398日以内の期限を持つものに制限することを発表しました。これは、CA / ブラウザコミュニティが証明書の有効期間を短縮し、セキュリティを向上させ、より短い有効性の証明書に移行しつつ、ビジネスオーナーのニーズとバランスをとるという長い議論の結果です。

2019年8月、 CA / ブラウザフォーラムで 「バロットSC22」がGoogleによって提案され、SSL/TLSサーバ証明書の有効期間を1年に短縮するというものでした。各認証局は顧客とこの提案を検討し、ユーザーからの多くのコメントを集めました。これは、情報システム部門がより短い有効期間に対応するための必要な追加作業を考慮し、ほとんどが反対を示しました。そのため投票はフォーラムで否決されました。その結果、証明書の最大有効期間は2年のまま据え置かれました。

かつて、証明書は最大3年間有効でした。数年前、それらが2年に短縮されました。今週のAppleの発表に戻ります。最終的に、バロットSC22で否決された提案が行おうとしていたことが実装され、証明書の有効期間が1年に短縮されるということになったのです。

Appleが一方的に短い証明書の有効期間を強制することにしたのはなぜでしょう?Appleの広報担当者は、「ユーザーを保護する」ことだと述べました。過去のCA / ブラウザフォーラムの議論から、重大なセキュリティインシデントの際、証明書の寿命が長くなると証明書の入れ替えが難しくなることがわかっています。Appleは明らかに、重大な証明書関連の脅威に迅速に対応できないエコシステムを避けたいという考えを持っています。短期の証明書はSSL/TLSサーバ証明書が危険にさらされた場合に、狙われる危険を減らすことからセキュリティを向上させます。また、企業名、住所、アクティブドメインなどの所有権を毎年更新することにより、組織の再編などによる運用上の混乱を修復するのにも役立ちます。いかなる改善がそうであるように、有効期間の短縮は、これらの改善を実装するために証明書ユーザーが必要な手間とバランスがとられるべきです。

では、このAppleが公式に出したKnowledge Base の記事(英文)が説明する変更により、証明書ユーザーにどのような影響があるのでしょうか?WebサイトやアプリがSafariやApple製品により信頼されるようにするには、2020年8月31日から398日を超える有効期間を持つパブリックSSL/TLSサーバ証明書は発行できなくなります。2020年9月1日より前に発行された証明書は有効期間(最大825日)に関係なく、引き続き有効です。公的に信頼されていない証明書は、最大825日の有効期限まで利用できます。

DigiCertは、有効期限が短いことによりエコシステムのセキュリティが向上することに理解し、その為にお客様が証明書の有効期限管理を自動化するためのツールを準備しました。短期証明書をサポートし、高度な自動化機能を備えることで数時間という短い期限も実現しています。さらに、CertCentralプラットフォームには、EV、OV、およびDV証明書の入れ替えを計画し、自動化する機能が実装されています。CertCentralの管理者は、オーケストレーションレイヤーのサポートだけでなく、継続的な証明書検知、更新通知、徹底的なAPI統合と文書化を行うことができます。CertCentralでは、複数年にわたる購入も可能なため、スムーズな計画と24時間年中無休のグローバルサポートにより、業界で最高のエクスペリエンスを実現できます。

証明書の有効期間が短くなるにつれて、組織がより短い有効期限を管理できるようにするため、自動化は不可欠です。DigiCertは、業界最先端の信頼性の高いツールを備えており、お客様が自動化をさらに推進するため必要な手順を講じることを支援します。

ディーン・コクリン

UP NEXT
5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失