電子証明書の発行・管理に関する国際的なガイドラインを策定する業界団体 CA/Browser Forum(CA/Bフォーラム) は、SSL/TLSサーバー証明書の最大有効期間を2029年までに段階的に短縮する方針を正式に決定しました。
今回の決定は、証明書の有効期間を短くすることで、秘密鍵の漏洩リスクや不正利用の影響を最小限に抑え、より堅牢なオンラインセキュリティを実現することを目的としています。
証明書のライフサイクルが短くなることで、運用側には更新作業の負担が増える一方、サイバー攻撃のリスク低減という大きなメリットが見込まれます。
段階的な短縮スケジュール
~2026年3月15日:最大398日まで
2026年3月15日~:最大200日まで
2027年3月1日~:最大100日まで
2029年3月1日~:最大47日まで
証明書の有効期間が短縮されることで、万一証明書や秘密鍵が流出した場合でも、攻撃者が悪用できる時間は大幅に制限されます。また、定期的な更新を通じて暗号アルゴリズムや鍵長の改善を迅速に取り込むことが可能になり、最新のセキュリティ標準に準拠しやすくなります。
一方で、システム管理者や企業にとっては更新作業の自動化が不可欠となり、証明書管理の仕組みを強化することが急務となるでしょう。
企業が今から準備すべきポイント
1.証明書管理の自動化
有効期間が最短で47日になると、手動での更新は現実的ではありません。ACMEプロトコル(Let’s Encryptなどで採用)に代表される自動化ツールの導入が必須です。
2.インベントリ(棚卸し)の実施
自社が利用しているすべての証明書を把握していないと、更新漏れによるシステム停止やセキュリティリスクにつながります。証明書管理プラットフォームの導入も有効です。
3.更新スケジュールの監視とアラート設定
証明書の期限切れは業務停止や顧客離れに直結します。監視システムにアラート機能を組み込み、期限前に確実に対応できる仕組みを整備する必要があります。
4.セキュリティポリシーの見直し
有効期間短縮に伴い、証明書運用ルールや鍵管理ポリシーを最新化し、組織全体で遵守できるようにすることが重要です。
今回の決定は利便性よりセキュリティを優先する大きな流れの一環です。
各組織は証明書の短命化を前提とした運用体制を整備し、更新漏れや管理不備によるリスクを未然に防ぐことが求められます。