SSLサーバー証明書の有効期間が短縮される！？

私たちは日頃からインターネットを通じて、Webアプリケーションやサービスを利用し、その恩恵を受けています。その一方でWebサイトの改ざんや情報漏えいといった事件・事故が後を絶たないという実情もあり、Webサイトの運営者はセキュリティに対する正しい知識を身に付ける必要があります。

本稿では、Webサイトの運営に欠かせないSSLの動向に関し、SSLサーバー証明書の有効期間の短縮について解説します。

SSLとは

SSLはSecure Sockets Layerの略称で、クライアント（Webブラウザ）とWebサーバー間で送受信するデータを暗号化するプロトコルです。インターネット上でやり取りする通信データを暗号化して盗聴を防ぐだけでなく、デジタル証明書の技術を組み合わせて実現されており、改ざんやなりすましを防ぐことができます。SSLをもとにTLS（Transport Layer Security）が開発された経緯があり、TLSを含めてSSLと呼んだり、SSL/TLSのように併記されることが多くなっています。現在、TLS 1.3が最新バージョンとなっており、TLS 1.2以降が推奨されています。

WebブラウザとWebサーバー間の通信は、HTTP（Hypertext Transfer Protocol）でやり取りされますが、HTTPでは通信するデータが暗号化されないため、インターネット上にログイン情報や個人情報、決済に必要なクレジットカード情報などをHTTPのまま送信してしまうと悪意ある第三者に盗聴される恐れがあります。そのため、SSLを活用してHTTPS通信でデータを保護する必要があるのです。

以前は、個人情報を取り扱う問い合わせフォームや会員ページ、クレジットカードを入力する必要のある決済ページなど、特定のページだけをHTTPSで通信することが多かったのですが、現在は全てのページをHTTPSで通信する常時SSL（Always On SSL）が普及しています。

【解説】Webセキュリティ ～Webサイトを取り巻く脅威と対策～

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

SSLサーバー証明書の種類

SSLに対応するには、WebブラウザとWebサーバ間の通信データを暗号化するための電子証明書であるSSLサーバー証明書が必要になります。SSLサーバー証明書は、Webサイトの運営者の実在性を確認する認証レベルに応じて3種類があります。

ドメイン認証

ドメイン認証（DV:Domain Validation）は、3種類の中で認証レベルが最も簡易な証明書です。申請者が証明書に記載のあるドメインの使用権を有しているかを確認することで発行されます。証明書に運営組織の記載はありません。 

企業認証

企業認証（OV: Organization Validation）は、証明書に記載される組織が実在し、その組織が証明書に記載されるドメインの所有者であることを確認して発行されます。Webサイトの身分証明という点でワンランク上の信頼性があります。

EV認証

EV（Extended Validation）認証は、3種類の中で最も厳格な審査が行われ、認証レベルの高い証明書です。証明書に記載される組織が実在するかの確認だけでなく、組織の所在地や申請者の情報や権限の確認が行われます。EV認証を導入したWebサイトは、証明書に運営組織が記載されるほか、アドレスバーにウェブサイトの運営組織が表示されるなど、ユーザーに与える安心感が高く、EV認証を導入することの大きなメリットでもあります。

証明書の有効期間が短縮される

ここまでSSLとは何か、サーバー証明書の種類について説明してきました。ここからは、本題の証明書の有効期間の短縮について解説していきます。

結果から話をしますと、現在のSSLサーバー証明書の最長有効期間は825日（27ヶ月）ですが、今後は398日（13ヶ月）に短縮されていきます。この動きは、電子証明書を使った通信の安全性やその利便性を向上させるためのガイドラインを策定している業界団体のCAブラウザーフォーラムにおいて、Appleが「2020年9月1日以降発行するSSLサーバ証明書の有効期間を398日に制限する」と発表したことから加速しました。

Appleからの発表は2020年3月にありました。Appleのブラウザといえば「Safari」ですが、2020年9月1日以降に発行された「有効期間が399日以上（※）」の証明書をSafariは信頼せず、信頼されない旨の注意喚起や警告が表示されるようになることを意味します。

※発行から「86400秒×398日」で厳密に計算されるため、Appleは最長有効期間を「397日」にすることを推奨している。

国内のスマートフォンのシェアの多くを占めるiPhoneのほか、iPadやMacの標準ブラウザであるSafariで、警告やエラーが表示されたり閲覧が不可になるような事態は無視することができず、とても影響の大きい話であると理解いただけると思います。当初は、GoogleやMozillaのブラウザである「Chrome」や「Firefox」では影響を受けないという見方もありましたが、ともに同様の方針を発表し、最終的に主要ブラウザ横並びの方針となりました。（ChromiumベースのMicrosoftの「Edge」も同様）

今まではSSLのサーバー証明書を購入したり、更新する際には「1年」または「2年」を選択することができたため、2年毎に更新されているケースも多いのではないかと思います。これからは有効期間が「1年」の証明書を使用していくことになりますが、Webサイトやサービスを運営している立場からすると、証明書の更新作業にはそれなりの手間がかかるため、正直なところ面倒なことになったなと思われるかもしれません。

実際、フォーラムでの発議・採決によって、2018年3月から有効期間が3年の証明書が発行できなくなりましたが、2019年8月の「SSL証明書の有効期間を1年に短縮」というGoogleの発議は、証明書を販売する認証局側の反対により否決されています。認証局とWebサイトの運営者にとって、これまでの有効期間「2年」は安全性と販売・運用面のバランスが保たれていたと考えられます。しかしながら、実質的に殆ど（※）のブラウザが信頼する証明書の有効期間を短縮するというのが実情であり、国内大手認証局からも有効期間2年の証明書の販売終了がアナウンスされるようになりました。

※数多くのブラウザが存在しますが、国内および国外のブラウザシェアのほか、一般的なPCやスマートフォン等のブラウザ利用を想定。

既に使用している証明書はどうなる？

既に購入済みであったり、使用中の証明書については、有効期間が2年であっても影響はありません。前述のとおり、2020年9月1日以降に発行される証明書が対象となりますので、慌てて購入し直す必要はありません。次回更新時のほか、新たに証明書を購入する際に、最長有効期間が「1年（最長13ヶ月）」になると覚えておきましょう。

まとめ

常時SSLが当たり前となった時代に、業界およびWebサイト運営者にとって、「SSL証明書の有効期間が短縮される」という動きは衝撃的で影響の大きいものとなりました。しかし、セキュリティの面では、実態の確認を伴うEV認証の性質や演算技術向上による暗号化アルゴリズム解読のリスク回避などのためにも、定期的に且つこまめに更新・変更することが安全なインターネット接続環境の維持につながると前向きに捉えることができると考えられます。

関連記事：常時SSL時代のセキュリティ

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。