Let's Encryptは1月15日(米国時間)、「6-day and IP Address Certificates are Generally Available - Let's Encrypt」において、160時間(約6日間)の短期証明書およびIPアドレス証明書の一般提供を開始したと発表した。

Let's Encryptは非営利団体ISRG(Internet Security Research Group)が提供する無償かつオープンな認証局。証明書は無償で取得でき、安全な通信環境の構築に活用することができる。

  • 6-day and IP Address Certificates are Generally Available - Let's Encrypt

    6-day and IP Address Certificates are Generally Available - Let's Encrypt

160時間(約6日間)の短期証明書で脆弱期間を短縮

今回新たに提供を開始する短期証明書は証明書の更新を自動化しているシステム向けの機能。侵害期間の短縮によるセキュリティ向上が期待されている。

これは「侵害された証明書」を失効させる「証明書失効リスト(CRL: Certificate Revocation List)」の課題を低減する目的で提供される。証明書失効リストは証明書と分けて管理されており、古くから証明書の「自己認証性」を無効にする問題を抱えている。

証明書を検証するアプリが最新の証明書失効リストを検証しない、またはできない場合は失効した証明書を有効と誤判定する可能性がある。そのため証明書失効リストの信頼性は低いと評価されており、長年課題とされてきた。

この問題を軽減するために、Let's Encryptは証明書の有効期間を45日に短縮する取り組みを推進している(関連記事:「Let's Encrypt、2028年までにTLS証明書の有効期間を45日間に短縮 | TECH+(テックプラス)」)。

しかしながら、この取り組みを終えた後も最大で45日間、脆弱な証明書を使用される可能性がある。そこで問題のさらなる低減を進めるため、160時間だけ有効な短期証明書の提供を行う。

証明書の有効期間が約6日と短いことから、すべての加入者に要求するわけではない。自動化による対応が可能な加入者に推奨し、セキュリティ強化に役立ててほしいと説明している。

IPアドレス証明書の一般提供開始

IPアドレス証明書は、ドメインを保有していないサーバや家庭用デバイス向けの証明書。IPアドレスでTLS接続する際の認証に使用できる。IPv4およびIPv6の両方をサポートし、有効期間が160時間の短期証明書を発行する。

対象となるIPアドレスは、固定IPアドレスである必要はない。しかしながら、動的IPアドレスを使用する場合の課題については加入者側で対処しなければならない。そのため動的IPアドレスではIPアドレス証明書の有用性は低く、正常に動作しない可能性が指摘されている(参考:「We've Issued Our First IP Address Certificate - Let's Encrypt」)。

IPアドレス証明書の取得には、「ACMEプロファイル(ドラフト)のサポート」および「短命プロファイル(shortlived)」を要求するように設定しなければならない。HTTP-01およびTLS-ALPN-01チャレンジのみサポートし、DNS-01チャレンジはサポートしない(参考:「チャレンジの種類 - Let's Encrypt」)。