これまで多くのシステム管理者は証明書を年1回更新してきましたが、2026年3月15日には最大有効期間が200日、2027年には100日、2029年にはわずか47日に短縮されます。この変更が行われると、手動での追跡や更新は現実的な選択肢ではなくなります。

まだ証明書更新の自動化に取り組んでいない場合、これらの有効期間短縮は大きな管理上の課題となります。手動プロセスでは対応できないほど頻繁な更新が必要になるためです。

その解決策が、広くサポートされているオープンスタンダード「ACME（Automatic Certificate Management Environment：自動証明書管理環境）」です。DigiCertのCertCentral利用者は、追加費用なしですべてのTLSサブスクリプションでACMEを利用できます。

証明書更新の自動化は大規模プロジェクトである必要はありません。ACMEは証明書の申請、ドメイン使用権確認（DCV）、証明書のインストールなど、主要な操作を自動化できます。

ACMEはウェブサーバー向けに設計されたものですが、それ以外の用途にも利用可能です。ウェブサーバーの稼働とセキュリティ維持が職務であれば、ACMEは有効な自動化手段となります。ただし、最初は学習が必要かもしれません。一度設定すれば、年1回の更新すら不要となり、30日更新にも対応でき、今後数年内に迫る変更に備えられます。

ACME対応製品は広く存在しますが、すべてではありません。どのソフトウェア製品やオープンソースプロジェクトがACMEに対応しているかは一覧で確認できます。ネットワーク機器分野でも対応は進んでいますが、ESTなど他の自動化標準を採用しているベンダーや未対応のベンダーもあります。こうした状況への対応もDigiCertが支援可能です。

TLS証明書有効期間の短縮は、Web PKIを統括する標準団体「CA/Browser Forum」が義務付けたものであり、すべてのパブリックCAが遵守しなければなりません。AppleとGoogleがこの変更の推進役でしたが、CAコミュニティもその目的に賛同し全会一致で承認しました。

ACME以外にも自動化は必要

ACMEでパブリックTLS証明書の更新自動化を実現した後は、他の証明書管理課題にも取り組むことができます。誰もが抱える課題です。

ACMEはウェブサーバー向けですが、ネットワークセキュリティ、デバイスセキュリティ、クライアント認証など他用途ではACME非対応が多く、自動化が必要です。これらはDigiCert ONEソリューション群で一括対応可能です。

Microsoft Active Directoryをご利用の場合、DigiCert Trust Lifecycle Managerで全証明書を一元管理し、他のPKIアプリと一貫したポリシー適用が可能です。

自社保有証明書の全体像を把握できていますか？中規模以上のネットワークでは管理対象外のPKIアプリが存在することも珍しくありません。DigiCert Trust Lifecycle Managerなら、パブリック/プライベート用途問わず全証明書を検出し、暗号資産の正確な棚卸し基盤を提供します。これは今後の標準変更に備え必須となるでしょう。

全証明書を把握すれば、社内用途にパブリック証明書を使っていたことが判明する場合もあります。これは一般的なケースで、CTログに内部ネットワーク情報が漏れる恐れがあります。DigiCertはこのような用途に適したプライベートCAの構築・運用も提供可能です。

対応できます

証明書の有効期間短縮は一見大きな課題に思えるかもしれませんが、慌てる必要はありません。今なら余裕をもって対処し、現在の398日更新時代より良い管理体制を整えることができます。

つまり、本格的に問題化する前に解決に取り組むべき時期なのです。