Let's Encryptは12月2日(現地時間)、「Decreasing Certificate Lifetimes to 45 Days」において、Webサイト向けに発行する証明書の有効期限を現行の90日間から45日間に変更するとアナウンスした。
ドメイン管理の検証後に証明書の発行を許可する認証再利用期間も、現行の30日間から7時間に短縮する。2026年5月13日から順次対応を開始し、2028年2月16日までに完了する予定だという。
-
Decreasing Certificate Lifetimes to 45 Days - Let's Encrypt
証明書の有効期間を90日間から45日間に短縮
Let's Encryptは、Webサイト向けに無料のTLS証明書を自動発行する認証局であり、HTTPS化を広く普及させることを目的として、非営利のプロジェクトとして設立された。ACME(Automated Certificate Management Environment)プロトコルを用いて証明書の取得や更新を自動化することによって、Webサイトの管理者の負担を減らすことができる点が大きな特徴である。
Mozilla Foundationや電子フロンティア財団などの支援を受けて運営されており、現在は世界中の多くのWebサイトで利用されている。
Let's Encryptが発行する証明書の有効期間は、現在はデフォルトで90日間となっている。有効期間が短くても問題ないのは、ACMEによる自動更新が前提になっており、証明書の再取得や更新を人間が管理する必要がないためである。今回、この有効期間をさらに短い45日間に変更する。
これはCA/Browser Forumのベースライン要件に則った対応だとLet's Encryptは説明している。有効期限が短くなれば、証明書や秘密鍵が漏洩・不正取得された場合でも、その影響範囲を最小限に抑えることができる。加えて、証明書の取り消し処理や、それに伴う技術の効率性が高まるという効果もある。
有効期間短縮までのタイムライン
有効期間短縮までのタイムラインは以下の通り。
- 2026年5月13日: 新しいtlsserver用のACMEプロファイルを利用する環境向けに、45日証明書の発行を開始する(オプトイン方式)
- 2027年2月10日: デフォルトのclassic ACMEプロファイルの証明書有効期間を64日に、認証再利用(authorization reuse)期間を10日に変更する
- 2028年2月16日: classicプロファイルの証明書有効期間を45日間に、認証再利用期間を7時間に変更する
自動発行機能が有効なら設定変更は不要
Let's Encryptによれば、現在多くのサイトがACMEによる証明書の自動発行・更新を利用しており、これらの環境では基本的にユーザーの設定変更は不要だという。ただし、自動発行機能が有効期限の短い証明書に対応しているかどうかを確認する必要は生じる。また、証明書有効期間が短くなることで、更新のタイミングや監視体制の整備がこれまで以上に重要になることも警告している。とくに、手動での更新は明確に非推奨とした。
証明書の自動発行で課題になるのはドメインコントロールの証明だ。証明書の有効期間が短くなれば、それだけドメインコントロールの検証要求も頻繁に発生し、管理者の負担が増える可能性がある。これを受けてLet's Encryptでは、新しい検証方式である「DNS‑PERSIST‑01」の標準化を進めることを発表した。
これが利用可能になれば、DNSのTXTレコードを一度設定するだけで、証明書更新ごとに手動でDNSを変更する必要がなくなり、自動更新の効率と安全性を高めることができる。DNS-PERSIST-01は2026年に利用可能になる見込みだという。
GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応
