2020年9月1日以降、SSL/TLS証明書の購入を考えているのであれば注意が必要だ。SSL/TLS証明書は有効期間が長いほうがディスカウント率が高い。管理の手間を考えても、できるだけ長い有効期間のSSL/TLS証明書を購入するのはロジカルな選択肢だ。しかし、2020年9月1日以降は状況が一変する。
Google Chrome、Apple Safari、Mozilla Firefoxが398日間を超える有効期間を持つSSL/TLS証明書を信頼しなくなるからだ。この長さは1年間に多少の更新猶予期間を持たせたものであり、基本的にSSL/TLS証明書の有効期間の上限が1年間に限定されることになる。
どのような流れでこういった状況になったのかは、「Apple to Enforce 1-Year Limit on SSL/TLS Certificate Lifetimes on September 1, 2020, Mozilla and Google to Follow Suit – WordPress Tavern」がわかりやすく伝えている。簡単に説明すると、2020年3月にAppleがこの方針を発表し、GoogleとMozillaがこの流れに賛同したということになる。
Appleは2020年3月3日(米国時間)、「About upcoming limits on trusted certificates - Apple Support」において、2020年9月1日以降に発行されるTLS証明書で有効期間が398日を超えたものを信頼しないように挙動を変更すると発表。
Appleのこの動きにGoogleとMozillaも追従した。
- ae4d6809912f8171b23f6aa43c6a4e8e627de784 - chromium/src - Git at Google
- Limit TLS Certificates to 398 day validity after Aug 31, 2020 · Issue #204 · mozilla/pkipolicy · GitHub
結果として、2020年9月1日以降に発行されるSSL/TLS証明書で有効期間が398日間を超えたものはほぼ使い物にならなくなる。
SSL/TLS証明書の有効期間を短くすることにはセキュリティ上の利点がある。基本的にライフサイクルの短い証明書のほうがより安全と考えられているほか、実質的に1年間しか有効にならないのであれば、1年ごとに会社名、住所、ドメインIDなどの情報が最新のものに更新されるようになる。また、SSL/TLS証明書に問題が発見された場合も、有効期間の短い証明書の方が交換が容易に行われるという傾向が確認されており、セキュリティ上、好ましいと考えられている。
有効期間の短いSSL/TLS証明書としては、Let's Encryptが提供している無償の証明書がその仕組みで運用されている。Let's Encryptの証明書の有効期間は90日間であり、60日間ごとの更新が推奨されている。WordPress Tavernは、Appleのポリシーが業界全体に変化を強いているこの現状を加味すると、SSL/TLS証明書の有効期間がさらに短くしていく可能性が考えられるとしており、しかもそれは予想よりも早く起こる可能性があると指摘している。
このポリシーが適用されるのは2020年9月1日以降に発行されるSSL/TLS証明書だ。現在使われているSSL/TLS証明書にはこのポリシーは適用されないため、2020年9日1日よりも前の段階で運用しているSSL/TLS証明書は有効期間が398日間を超えるものも継続して使用することができる。