SSLサーバ証明書有効期間と契約期間

SSL証明書の更新と契約について(2020年8月~)

長期証明書ご利用のお客様や、長期証明書希望のお客様へ

これまで最長5年のSLL有効キーが、Appleを筆頭に1年毎の更新を標準とする議案が(CAブラウザフォーラム)にて決定されております。
これまでのメリットを継続するため以下の様な運行仕様に変わります。

これまでのメリット

1、長期契約で年あたりの料金が安くなる
2、長期契約なのでキー入れ替えは必要ない
2、365日ではなく最大397日の利用期間になるため、1年+1か月ほどプラスされる

デメリットは1年毎にキーは入れ替えないとならない
※こちらですべて準備して、お客様におしらせいたします。

対応

今回、長期割引は継続でするが、キーは更新しなければならないと言う約束になりました。
1、最大90日前からキー交換ができ、期限が切れた日から新しいキー日付に自動で変わりますので、無駄は御座いません。
2、今後、各社(SSL認証局やサーバーOS会社)などは、自動更新機能を追加する予定だそうです。
※既にLet’s Encrypt SSL等は自動更新が可能になっています。

業界的なお話

現在Safariで起きていること

Safariとは、Appleで開発されているWebブラウザであり、パソコンであるMacの他にiPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。

このSafariにおいて、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書(以下、SSL証明書)が信頼されないことになります。

具体的なエラー画面の仕様などは明らかにされていませんが、Appleの発表に「This might cause network and app failures and prevent websites from loading.」と書かれていることから、失効したSSL証明書を利用しているサイトにアクセスした時のように、全画面でエラーが表示されてサイトへはアクセスできなくなってしまうことが考えられます。

Safariだけが有効期間を短縮する背景

SSL証明書に関する取り決めは、CA/Browser Forum(CAブラウザフォーラム)という業界団体で行われており、SSL証明書を発行するCertificate Authority(認証局)と、ChromeやSafariなどのWebブラウザを開発するブラウザベンダーが団体に参加しています。日本からもルート認証局であるセコムトラストシステムズやGMOグローバルサインが参加しています。

そのフォーラムにて、SSL証明書・Webブラウザの仕様変更や新仕様が発議され、各社の投票によってガイドラインなどが決定されます。2018年3月より、有効期間3年のSSL証明書が発行できなくなりましたが、これもフォーラムにて発議・採決されて決められたものです。

2019年8月に「SSL証明書の有効期間を1年に短縮する」とGoogleが発議しましたが、CA側(SSL証明書を販売する側)の反対が多く否決されました。

否決されたにも関わらず、Appleは「ユーザーのWebセキュリティ改善」を理由に、Safari独自のブラウザ仕様として有効期間の短縮を発表しました。これまでも、ブラウザ側が独自仕様としてSSL証明書の無効化を行った事例はあるため、珍しいことではありません。「セキュリティ強化のためにブラウザ仕様を変更する」という、ごく普通の改修の一環としても受け取れます。

その他ブラウザの対応は?

CA/Browser Forumの投票では、ブラウザ側は「1年への短縮」に全員賛成しているため、他のブラウザでも短縮対応が実施される可能性はゼロではないと思われいましたが、Google Chrome、Mozilla FirefoxでもSafariと同様にSSL証明書の有効期間を397日以下にすることが決定されました。

今後の流れ

399日以上の有効期間を持つSSL証明書は、2020年9月1日以降Apple Safari、Google Chrome、Mozilla Firefoxブラウザでは信頼されないことが決定されました。現在、CA/Browser フォーラムでは397日から9ヶ月→6ヶ月→90日と段階的に有効期間を短縮していく施策が検討されており、数年のうちに実施される可能性があります。こうなった場合、サーバー台数が多い大規模なシステムでは何十枚ものSSL証明書を60日程度のサイクルで入れ替える必要が出てくるため、更新の自動化が必須になると考えられます。