Googleが提案した「SSL証明書の有効期限短縮」 今、すべきことはすぐに手を打たなければ

2025年、SSL証明書の有効期限が大幅に短縮されるとみられている。対策は必ずしも容易ではなく、十分な検討が必要になる。どうすればいいのか。

2024年10月17日 10時00分 公開
[ITmedia]

 インターネット上で送信されるデータのセキュリティを確保するのに欠かせないのが、信頼できる認証局が署名したSSL/TLSサーバ証明書(以下SSL証明書)だ。この証明書によって、Webブラウザ側との信頼関係が確立し、暗号化通信でデータを保護できる。

 SSL証明書の有効期間について今、重要な動きがある。現在の有効期間は398日、つまり約1年1カ月だが、2025年には90日に短縮されることが発表されると予測されている。

 だが、SSL証明書を巡っては、ルート認証局の鍵の危殆(きたい)化、不正発行などの問題が常に発生してきた。そこで、証明書の悪用や失効した証明書の使用を早期に検出するために、有効期間の短縮が段階的に進められてきた。Webブラウザベンダーと認証局が参加する会議体「CA/Browser Forum」は、SSL証明書の有効期間を、10年から5年、4年、1年1カ月へと短縮してきた。

 この流れの中で、2023年3月にGoogleは、全てのSSL証明書の最大有効期間を90日に短縮する方針を提案した。1年以上から3カ月への短縮は大きな変化だ。全てのWebサーバ運営者がこの影響を受けることになる。対策はどのようにすればいいのか。セキュリティ専門家に聞いた。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:CSC Japan株式会社
アイティメディア営業企画/制作:アイティメディア編集局

Copyright © ITmedia, Inc. All Rights Reserved.