Let’s Encrypt、証明書の有効期間を90日→45日に短縮すると発表（2028年まで段階的に適用）

変更理由

• CA/Browser Forumの基準要件（世界中のすべての公認CAに同様に適用）
• インターネットセキュリティの強化（有効期間が短くなることで、侵害時の被害範囲を限定し、失効の効率も向上）

証明書の有効期間の変化

• 現在: 90日
• 2028年以降: 45日

ドメイン所有権検証の再利用期間の変化

• 現在: 30日
• 2028年以降: 7時間

段階的な適用スケジュール（新規発行証明書から適用）

• 2026年5月13日: opt-inプロファイル（tlsserver）→ 45日証明書の発行開始（テスト可能）
• 2027年2月10日: デフォルトプロファイル（classic）→ 64日証明書 + 検証再利用10日
• 2028年2月16日: デフォルトプロファイル（classic）→ 45日証明書 + 検証再利用7時間

ユーザーが行うべきこと

• 自動更新を利用している大半のユーザー: 特別な対応は不要
• ただし、自動更新の周期が45日証明書と互換性があるかの確認は必須
• 推奨対応
  • ACME Renewal Information (ARI) 機能を有効化（正確な更新タイミングを案内）
  • ARI非対応クライアント: 証明書寿命の2/3付近で更新するよう設定
  • 手動更新は非推奨（頻度が高すぎるため）
  • 証明書の有効期限監視システムを必ず構築

新しい自動化向け利便機能（2026年導入予定）

• DNS-PERSIST-01チャレンジの新規標準化を推進
• 特徴: DNS TXTレコードを一度設定すれば、更新のたびに変更する必要がない
• → DNS自動更新権限がなくても完全自動更新が可能

公式発表リンク https://letsencrypt.org/2025/12/02/from-90-to-45

結論: 2028年までに、すべてのLet’s Encryptユーザーにとって45日周期の自動更新 + ARI + 監視が必須の環境になります。