TLS証明書の有効期間、正式に47日に短縮

 (digicert.com)
16 ポイント 投稿者 GN⁺ 2025-04-17 | 1件のコメント | WhatsAppで共有
  • TLS証明書の有効期間短縮: CA/Browser Forumは、TLS証明書の有効期間を短縮することを決定した
  • 自動化の重要性: 証明書の有効期間短縮により、自動化が必須となる。Appleは、自動化が証明書ライフサイクル管理に不可欠だと主張している
  • 証明書情報の信頼性の問題: 証明書情報の信頼性は時間の経過とともに低下するため、頻繁な再検証が必要となる
  • 証明書失効システムの問題点: CRLとOCSPを使用する証明書失効システムは信頼性に欠け、短い有効期間によってこれを緩和できる
  • コストと自動化ソリューション: 証明書の更新コストは年間サブスクリプションに基づいており、自動化によってより短い更新サイクルを自発的に選ぶケースが多い

TLS証明書の有効期間短縮

  • CA/Browser Forumは、TLS証明書の有効期間を短縮することを正式に決定した
  • 2026年3月から証明書の有効期間は200日、2027年には100日、2029年には47日に短縮される予定
  • ドメインおよびIPアドレスの検証情報の再利用期間も、2029年までに10日に短縮される予定

47日の意味

  • 47日は、1か月(31日)と30日の半分(15日)、そして1日の余裕を加えた期間
  • Appleは、自動化が証明書ライフサイクル管理に不可欠であることを強調している

証明書情報の信頼性の問題

  • 証明書情報の信頼性は時間の経過とともに低下しており、頻繁な再検証が必要となる
  • 証明書失効システムは信頼性に欠け、短い有効期間によってこれを緩和できる

自動化の必要性

  • 証明書の有効期間短縮により、自動化が必須となる
  • DigiCertは、Trust Lifecycle ManagerとCertCentralを通じてさまざまな自動化ソリューションを提供している

追加情報とブログ購読

  • 証明書管理、自動化、TLS/SSLに関する最新情報はDigiCertブログで確認できる
  • 自動化ソリューションの詳細についてはDigiCertに問い合わせ可能

関連記事

1件のコメント

 
GN⁺ 2025-04-17
Hacker Newsの意見

  • 「ここでの最終目標が何なのか気になる。反対意見に同意する。なぜ30秒にしないのか疑問だ」

    • 「TLSの利用がもはや不可能になるほど、あらゆるものを自動化しなければならない臨界点を超えるなら、なぜ48時間を超える有効期間を設ける必要があるのか疑問だ」
    • 「これは実用的というよりイデオロギー的な任務のように感じる。すべてのインフラを毎月変更させることに、金銭的または権力的な利点があるのかは分からない」

  • 「大企業と仕事をしていて、有効期限がどんどん短くなるにつれて、ほとんどが社内署名証明書を使うようになっているのを見てきた」

    • 「公開証明書はエッジデバイスやロードバランサーに使うが、内部サービスには有効期限の長い社内CA署名証明書を使う」
    • 「証明書の扱いが面倒なアプリが多いからだ」

  • 「別スレッドでも言われていたように、これは自分のサブドメイン向けに独自CAを作る可能性をなくすことになる」

    • 「ブラウザに組み込まれた大手CAだけが、望む期間の独自CA証明書を持てることになるだろう」
    • 「セキュリティの観点では、これは諸刃の剣だ」
    • 「誰もが証明書が変わり続けることに慣れてしまい、証明書ピンニングがなくなれば、中国や企業が偽の証明書を出してきたときに気付きにくくなるだろう」
    • 「閉じたシステムではなく、世界中のあらゆるマシンが、システム更新のためにランダムな証明書サーバーへほぼ恒久的に接続し続けなければならなくなるだろう」
    • 「DigicertやLetsencryptのサーバー、あるいは『証明書更新クライアント』がハッキングされたりセキュリティ問題を起こしたりすれば、世界中の大半のサーバーが極めて短時間で侵害される可能性がある」

  • 「記事の次の説明には笑ってしまった」

    • 「47日は任意の数字に見えるかもしれないが、単純な連鎖だ」
    • 「47日 = 最大1か月(31日) + 30日の1/2(15日) + 1日の余裕」
    • 「だから47は任意ではないが、1か月、1/2か月、1日は任意ではないというわけだ」

  • 「認証局として、顧客から最もよく聞かれる質問の一つは、証明書をより頻繁に入れ替えると追加費用がかかるのかということだ」

    • 「答えはノーだ。費用は年間サブスクリプションに基づいている」
    • 「Digicert、ちょっと待て。価格は年間サブスクリプションに基づいている。CAのコストは実際にはわずかに増えるが、すでにほぼゼロに近い」
    • 「CAの運営は世界で最も簡単なビジネスの一つだ」

  • 「私たちは、SSL証明書の有効期限が14日以下になったら『月曜まで待てる』程度の重要でない警告を、期限まで48時間になったら『取り込み中』警告を送るよう監視を設定している」

    • 「数年前にcert-managerが妙な状態に陥ったことがあるので、次回は前もって知りたい」

  • 「暗号化と身元が証明書の中でそこまで密接に結び付いていなければいいのにと思う」

    • 「証明書を発行するとき、常に暗号化のことは気にするが、ときには身元のことは気にしない」
    • 「暗号化だけを気にしたいときでも、身元に配慮する追加の負担を背負わなければならない」

  • 「これが施行されたら、すべてのChromecastがまた動かなくなるのだろうかと気になる」

    • 「今年初めのChromecast停止時のGoogleの対応を見る限り、Chromecastは最小限の人員で運用されていて、証明書更新を自動化する余力はなさそうだ」

  • 「自動化と短期証明書によって、認証局はOpenID Providerに近い存在になる」

    • 「セキュリティの重要な部分は、認証局がドメイン所有権をどう検証するかに集中する」
    • 「クライアントが証明書に頼らず、直接検証を行えるようになるかもしれない」
    • 「たとえばサーバーに接続するとき、クライアントが2つの固有値を送り、サーバーはDNSレコードを生成しなければならない」
    • 「DNSによる認証だ。DNSシステムを高速化する必要があるだろう」

  • 「これは、2つの興味深い領域で証明書ピンニングへの依存を崩すことになる」

    • 「モバイルアプリ」
    • 「企業API。多くの企業が証明書をピン留めしていて、私たちが証明書をローテーションすると不満を言う」
    • 「47日の期間は、彼らに自動でピンニングをローテーションさせることを強いるだろう」

  • 「ここでの前提は、秘密鍵のほうが、証明書発行に使う秘密やメカニズムよりも侵害されやすいということだ」

    • 「その点については確信が持てない」