インターネットセキュリティを強化する動きの中で、CA/Browserフォーラム(CA/Bフォーラム)はSSL/TLS証明書の最大有効期間を現在の398日から、2029年3月15日までにわずか47日に短縮する提案を承認した。この決定は当初Appleによって提案され、Google、Mozilla、Sectigoなどの主要な業界関係者によって支持され、長期間有効な証明書に伴うリスクを軽減し、証明書管理の自動化を促進することを目的としている。
彼らの提案書によると、SSL/TLS証明書の有効期間短縮は数年にわたって段階的に実施される。それは2026年3月15日に始まり、証明書の最大有効期間が200日に短縮される。続いて2027年3月15日に100日まで短縮される。最終的に2029年3月15日には、最大有効期間がわずか47日にまで短縮され、業界全体に渡って証明書管理のあり方に大きな変化をもたらすことになる。
加えてドメイン検証情報を再利用できる期間も2029年までに398日から10日へ短縮されるため、より頻繁な再検証プロセスが必要となる。
この変更の背景にある理由は、侵害された証明書が悪用される可能性のある期間を制限することで、セキュリティを強化するためである。有効期間が短くなることで、歴史的に信頼性に問題があった証明書失効メカニズムへの依存度も低減される。
一部の専門家は、この変更の実用性や必要性に懐疑的な見解を示している。例えばDaniel V. Bailey氏は、この動きを裏付ける実証的証拠が欠けていることを問題視し、こう述べている:
「この変更が良いアイデアであることを示す確かなデータはあるのでしょうか?意図は確かに理解できます。証明書失効チェックはあまりうまく機能しませんし、自動化ツールを使えば証明書の更新は自動で行えます。残念なことに実際には、企業には自動化が容易ではないレガシーシステムやアプライアンスがあるのが残念です。」
他の人々は、特に自動化能力のない組織にとって運用上の課題となる可能性をハイライトしている。Redditユーザーはコメントした:
「すべての証明書ローテーションを自動化しなければならない、公共部門の組織にも及ぶコスト-そしてこれが『セキュリティ』対策として正当化されるための実際の証拠(この対策で防げたはずの攻撃事例)の完全な欠如-を考えると、これらの期限が到来する頃には、政府が説明責任を果たさないCA/BF陰謀団が持つ影響力とゲートキーパーとしての権力に対して、遅ればせながら真剣に見直しを行うことになるでしょう。」
SSL/TLS証明書の有効期間短縮支持者は、短い有効期間は侵害された証明書が悪用される期間を制限し、セキュリティを強化すると主張している。Sectigo氏に指摘されたように、短い証明書の有効期間は秘密鍵の漏洩や誤発行、失効の遅延などのリスクを低減し、デジタルセキュリティを強化する。
さらに、短い有効期間への移行は、証明書管理の自動化を促進する。AppViewXによれば、短命な証明書は頻繁な更新が必要となり、証明書の有効期限切れやサービスの停止を防ぐためには自動化による対応が最適だ。自動化ソリューションはシームレスな証明書ライフサイクル管理を実現し、コンプライアンス、運用効率、デジタルトラストを強化する。
業界がこれらの変更に適応する中、組織は証明書管理の実践を評価し、進化するデジタル環境においてセキュリティとコンプライアンスを維持するために可能な限り自動化を導入する必要がある。