はじめに
ウェブサイトに無料のSSL/TLS証明書を提供している非営利団体であるLet’s Encryptは、デジタル証明書の発行方法を大きく変更すると発表しました。2026年より、証明書の有効期間を現在の90日間から45日間に短縮し、2028年2月までに完全な移行を目指します。
変更の背景と目的
この変更は、すべての公開信頼される認証局(CA)に技術ガイドラインを定めるCA/Browser Forum Baseline Requirementsによる広範な業界標準に準拠するためのものです。この取り組みは、インターネットセキュリティの強化を目的としており、潜在的な侵害の影響範囲を制限し、証明書失効の有効性を向上させることが期待されています。
また、証明書の有効期間短縮に加え、Let’s Encryptは認証の再利用期間も2028年までに30日間からわずか7時間に短縮します。これにより、ドメインのコントロール検証がより頻繁に行われることになりますが、組織はこのプロセスを効率化するための新しいツールを導入する予定です。
段階的な導入計画
Let’s Encryptは、この重要な変更を一晩で実施するのではなく、ACMEプロファイルを利用した複数段階でのアップデートを展開します。これにより、管理者は新しい標準の導入時期を制御できるようになります。以下の3つの主要なマイルストーンが設定されています。
- 2026年5月13日: 早期導入者向けにTLSサーバーACMEプロファイルを立ち上げ、45日間の証明書発行を開始します。
- 2027年2月10日: デフォルトのクラシックプロファイルが64日間の証明書を発行するようになり、認証の再利用期間は10日間となります。
- 2028年2月16日: クラシックプロファイルは完全に45日間の証明書と7時間の認証再利用期間に移行します。
管理者への影響と推奨事項
自動化された証明書管理システムを利用しているLet’s Encryptのユーザーのほとんどは、この変更による大きな混乱を経験しないでしょう。しかし、管理者はより頻繁な更新に対応できるよう、自身の自動化インフラが適切に機能するかどうかを確認する必要があります。
更新の課題に対処するため、Let’s EncryptはACME Renewal Information (ARI) の使用を推奨しています。この機能は、証明書をいつ更新すべきかをクライアントに正確に通知します。ARIをサポートしていない組織は、現在の有効期間の約2/3の時点で証明書を更新するスケジュールを実装する必要があります。これまでの60日間の固定更新間隔では不十分になります。
さらに、Let’s Encryptは2026年に登場予定の新しい検証方法であるDNS-PERSIST-01の標準化に向けて、CA/Browser ForumおよびIETFと協力しています。これにより、管理者はDNSエントリを一度設定するだけで、更新ごとに変更する必要がなくなり、ACMEクライアントのインフラへのアクセスが制限されている組織にとって自動化が大幅に簡素化されるでしょう。
管理者は、証明書の更新が予期せず失敗した場合に警告する包括的な監視システムを実装することも重要です。Let’s Encryptは、管理者が状況を把握できるよう、利用可能な監視オプションに関するドキュメントを提供しています。また、Let’s Encryptの技術アップデートメーリングリストを購読することで、最新情報を入手することができます。
まとめ
証明書の有効期間が短くなることで、更新頻度は増加しますが、セキュリティ体制の強化と新しい自動化ツールによって、運用上の摩擦は大幅に軽減されるはずです。この変更は、より安全なインターネット環境の実現に向けた重要な一歩となります。
元記事: https://gbhackers.com/lets-encrypt-cutting-certificate-lifespan-from-90-days-to-45-days/