SSL証明書の有効期限: 最長397日に？

2020年3月にApple社より発表された内容によると、今後Safariブラウザでは、iOS, iPadOS, macOS, watchOS and tvOSにおいて、2020年9月1日以降にデフォルトでブラウザに登録されているルート証明機関(＝信頼されたルート証明機関)により発行されたSSL証明書、かつ有効期限が1年を超えるものについては信頼しないという動作仕様に変更になっています。（わかりやすいために1年と記載していますが実際には397日まで有効。398日を超える有効期間が不正とみなされます。）

このニュースは、以前に何気なく見たような記憶がありましたが、最近「ひとくちPKI」というポッドキャストにて話題となって改めて確認してみました。

以前よりLet’s Encryptなどは90日間という有効期間でしたが、業界としてApple以外にもGoogleやMozzilaもこの方針に同意をして、SSL証明書の有効期間を短くするという動きが広がっているとのこと。

サーバやWebアプリ担当者にとってみれば、SSL証明書の更新は難しくはないけれど、SSL証明書自動更新手続きなどが無い状態で運用している管理者にとっては、手間は多少かかる作業なので看過できない動きかなと思います。関連記事では、今後さらに有効期間は短くしていく傾向にあるとのこと。

そもそも、この有効期間短縮の動きは、以前よりCA局が発行している証明書が不正に発行されたり、間違って発行されたりするインシデントが発生したり、ドメインの所有権が移転するような場合においても移転前に証明書を取得していた場合に、ドメインの前オーナーがなりすましサイトを公開できるなど、インシデントが発生した際の被害を拡大させないようにするためののものとのこと。

今後サーバ管理者は、以下の点を考慮する必要があると思いました。

SSLサーバ証明書の有効期間は短くする必要がある（現在は最長１年(厳密には397日まで可能)と考える）

証明書の運用管理について見直しが必要になる（さらに有効期間が短くなることに備えること）

【参考】何度も短縮し過ぎ？！SSL証明書の有効期間がどんどん短くなる理由とは？　さくらのSSL