私たちは日頃からインターネットを通じて、Webアプリケーションやサービスを利用し、その恩恵を受けています。その一方でWebサイトの改ざんや情報漏えいといった事件・事故が後を絶たないという実情もあり、Webサイトの運営者はセキュリティに対する正しい知識を身に付ける必要があります。
本稿では、Webサイトの運営に欠かせないSSLの動向に関し、SSLサーバー証明書の有効期間の短縮について解説します。
SSLとは
SSLはSecure Sockets Layerの略称で、クライアント(Webブラウザ)とWebサーバー間で送受信するデータを暗号化するプロトコルです。
インターネット上でやり取りする通信データを暗号化して盗聴を防ぐだけでなく、デジタル証明書の技術を組み合わせて実現されており、改ざんやなりすましを防ぐことができます。
SSLをもとにTLS(Transport Layer Security)が開発された経緯があり、TLSを含めてSSLと呼んだり、SSL/TLSのように併記されることが多くなっています。現在、TLS 1.3が最新バージョンとなっており、TLS 1.2以降が推奨されています。
WebブラウザとWebサーバー間の通信は、HTTP(Hypertext Transfer Protocol)でやり取りされますが、HTTPでは通信するデータが暗号化されないため、インターネット上にログイン情報や個人情報、決済に必要なクレジットカード情報などをHTTPのまま送信してしまうと悪意ある第三者に盗聴される恐れがあります。
そのため、SSLを活用してHTTPS通信でデータを保護する必要があるのです。
以前は、個人情報を取り扱う問い合わせフォームや会員ページ、クレジットカードを入力する必要のある決済ページなど、特定のページだけをHTTPSで通信することが多かったのですが、現在は全てのページをHTTPSで通信する常時SSL(Always On SSL)が普及しています。
SSLサーバー証明書の種類
SSLに対応するには、WebブラウザとWebサーバ間の通信データを暗号化するための電子証明書であるSSLサーバー証明書が必要になります。
SSLサーバー証明書は、Webサイトの運営者の実在性を確認する認証レベルに応じて3種類あります。
ドメイン認証
ドメイン認証(DV:Domain Validation)は、3種類の中で認証レベルが最も簡易な証明書です。
申請者が証明書に記載のあるドメインの使用権を有しているかを確認することで発行されます。証明書に運営組織の記載はありません。
企業認証
企業認証(OV: Organization Validation)は、証明書に記載される組織が実在し、その組織が証明書に記載されるドメインの所有者であることを確認して発行されます。
Webサイトの身分証明という点でワンランク上の信頼性があります。
EV認証
EV(Extended Validation)認証は、3種類の中で最も厳格な審査が行われ、認証レベルの高い証明書です。
証明書に記載される組織が実在するかの確認だけでなく、組織の所在地や申請者の情報や権限の確認が行われます。
証明書の有効期間が短縮される
ここまでSSLとは何か、サーバー証明書の種類について説明してきました。ここからは、本題の証明書の有効期間の短縮について解説していきます。
2020年3月、Appleは同年9月1日以降に発行されたSSLサーバー証明書の有効期間を398日に制限すると発表し、当時の最長有効期間825日(27ヶ月)から現在の最長有効期間398日(13ヶ月)に短縮されました。
そして、2023年3月に開催されたCAブラウザフォーラム(電子証明書を使った通信の安全性やその利便性を向上させるためのガイドラインを策定している業界団体)において、Googleが証明書の有効期間を90 日(3ヶ月)に短縮する構想を発表しました。すぐに90日間に短縮することはありませんが、短縮に向けた議論が開始されます。
有効期限短縮の必要性
過去には有効期限が最大5年のSSLサーバー証明書を利用できる時代もありましたが、何度かの短縮を経て、現在の398日(13ヶ月)にまで短縮されました。そして、Googleにおいて90日(3ヶ月)に短縮される構想を発表しました。
では、有効期限はなぜ短縮するのでしょう。それは、有効期限が短い方がセキュリティが向上すると考えられているからです。
SSLサーバー証明書はWebサイトの運営者の実在性を証明しますが、有効期限が長いほど信頼性が低くなることや、企業の合併など情報変更に対応するためにも定期的な更新・変更が望ましいと考えられています。
有効期限短縮による運用負荷の増加
これまで約1年毎に行っていたSSLサーバー証明書の更新ですが、90日に短縮されることによって、3ヶ月毎の更新が必要になります。そのため、作業負荷の増加、人為的ミスといったリスク増加が考えられます。
これらのリスクを軽減する対策として、SSL証明書の管理を自動化するソリューションなどがあります。有効期限の短縮による影響を受けないためにも、これらの対策も検討する必要があります。
また、クラウド型WAFを導入する場合、クラウド型WAFに対してSSLサーバー証明書の導入が必要になり、Webサイトと同様に証明書の更新を行う必要があります。
EGセキュアソリューションズ株式会社が提供するクラウド型WAF「SiteGuard Cloud Edition」では、Let’s EncryptのSSLサーバー証明書の自動更新機能を標準搭載しています。
クラウド型WAF(SiteGuard Cloud Edition)の詳細はこちら
証明書の有効期限を気にしたり、更新の手間を省くことができますので、Webサイトのセキュリティ対策として、WAFの導入をご検討の際はお気軽に当社までご相談ください。
まとめ
常時SSLが当たり前となった時代に、業界およびWebサイト運営者にとって、「SSL証明書の有効期間が短縮される」という動きは衝撃的で影響の大きいものです。
しかし、セキュリティの面では、実態の確認を伴うEV認証の性質や演算技術向上による暗号化アルゴリズム解読のリスク回避などのためにも、定期的に且つこまめに更新・変更することが安全なインターネット接続環境の維持につながると考えられます。
関連記事:常時SSL時代のセキュリティ
- カテゴリ:
- 動向