フィッシング対策協議会(Council of Anti-Phishing Japan)の証明書普及促進ワーキンググループは8月19日、サーバ証明書の有効期間の短縮に関するドキュメント「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|サーバー証明書の有効期間短縮化 ~業界団体 CA/Browser Forumにおいて段階的に短縮化されることが可決~」を公開した。

これは今年4月に承認されたSSL/TLSサーバ証明書の最大有効期間短縮について、国内組織への周知徹底を目的としたもの。Appleが提出した期間短縮の提案(SC-081v3)などは、4月に伝えた「SSL/TLS証明書の有効期間が47日に短縮、2026年から段階的に実施 | TECH+(テックプラス)」から概要を確認することができる。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|サーバー証明書の有効期間短縮化 ~業界団体 CA/Browser Forumにおいて段階的に短縮化されることが可決~

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|サーバー証明書の有効期間短縮化 ~業界団体 CA/Browser Forumにおいて段階的に短縮化されることが可決~

最大有効期間を段階的に短縮

Appleはデータが漏洩した場合の影響を軽減するためとして、Certification Authority Browser Forum(CA/Browser Forum)にSSL/TLSサーバ証明書の最大有効期間の短縮を提案し、今年4月に賛成多数で可決されている。提案では2026年から2029年にかけて最大有効期間を47日に短縮することを求めており、新しいベースライン要件においてもその方針に従った段階的な短縮が定められている。

フィッシング対策協議会は、今回の変更でドメイン名使用権の認証情報および組織の審査に関連する認証情報の再利用期間も短縮されたとして注意を呼びかけている。これら有効期間の短縮スケジュールをまとめた一覧は次のとおり。

  • 有効期間などの短縮スケジュール - 引用:フィッシング対策協議会

    有効期間などの短縮スケジュール 引用:フィッシング対策協議会

大幅な短縮に対応するには自動化が不可欠

現在のSSL/TLSサーバ証明書の最大有効期間は398日だが、約3年半後には47日まで短縮される。これまでは1年以上の有効期間があり、手動での対応も可能だった。しかしながら今後は更新頻度が8倍以上に増加し、手動更新では事故につながるリスクがある。

そこでフィッシング対策協議会は、更新失敗によるサービス中断を防止するためとして更新処理の自動化を推奨している。自動化の方法は組織の事情に合わせて決定する必要がある。

最初の期間短縮は約半年後の2026年3月15日に迫っている。初回は200日と比較的長いことから手動での対応もリスクは低いと考えられるが、2027年以降のさらなる短縮に備え、サーバ証明書を管理する組織には早期の運用計画の策定および自動化システムの導入が望まれている。