CA/Browser Forum(SSL証明書の標準を設定する業界団体)は2025年4月に、最大証明書有効期間を398日から2029年3月までに47日に段階的に短縮することを決議しました。これは有料・無料を問わずすべての認証局に影響します。
タイムライン
| 発効日 | 最大有効期間 | 最大DCV再利用 | 影響 |
|---|---|---|---|
| 2026年3月以前 | 398日(13か月) | 398日 | 現在の状態 |
| 2026年3月15日 | 200日 | 200日 | 有料認証局がより短い証明書を発行する必要 |
| 2027年3月15日 | 100日 | 100日 | Let’s Encryptの90日モデルに接近 |
| 2029年3月15日 | 47日 | 10日 | すべての証明書に頻繁な更新が必要 |
DCV再利用 = ドメイン検証結果を再利用できる期間。2029年までに、証明書が47日間有効でもドメイン管理を10日ごとに再検証する必要があります。
なぜこれが起きているのか
短命証明書はより安全です:
- 露出ウィンドウの縮小 — 鍵が侵害された場合、被害は残りの有効期間に限定
- より速い失効 — 失効メカニズム(CRL、OCSP)は信頼できない。短い有効期間によりそれらの重要性が低下
- 自動化の強制 — 47日では手動更新がスケールしないため、業界を自動証明書管理に推進
- 新鮮な検証 — 頻繁なドメイン管理検証が、古いDNS、売却されたドメイン、所有権変更をより早くキャッチ
Appleがこの変更を提案し、4大ブラウザベンダー(Apple、Google、Mozilla、Microsoft)すべてが賛成票を投じました。
あなたにとっての意味
Let’s Encrypt(90日証明書)を使用している場合
すぐには大きな変化はありません。既に60〜90日ごとに更新しています。2029年までに、更新サイクルが60日ごとから約30日ごとに短くなります。
必要なアクション: 信頼できる更新自動化(Certbot cron、acme.sh cron)または信頼できる手動プロセス(カレンダーリマインダー付きのGetHTTPS)を確保してください。
有料証明書(1年証明書)を使用している場合
これはより大きな変化です。2026年3月までに最大有効期間が200日に短縮されます。2029年までに47日に — Let’s Encryptのモデルと同一です。
必要なアクション: 自動化の計画を始めてください。有料証明書のコスト面の利点(長い有効期間 = 更新回数が少ない)はなくなります。多くの組織が自動更新付きの無料Let’s Encrypt証明書に切り替えるでしょう。
多数の証明書を管理している場合
数百のドメインにわたる47日の有効期間は、年間数千回の更新を意味します。手動管理は不可能になります。
必要なアクション: ACMEベースの自動化(Certbot、acme.sh、または証明書管理プラットフォーム)を実装してください。
「設定して忘れる」の終わり
最大の実用的影響:1年証明書を購入して忘れることはもうできません。 2029年までに、すべてのWebサイトに自動更新パイプラインまたは毎月手動で更新する人が必要です。
これは無料と有料の認証局の間の競争条件を均等にします — 全員が47日ごとに更新するとき、有料証明書の長期有効期間の利点は完全になくなります。
DCV再利用の変更(見落とされがち)
同じCA/B Forum議決案はDomain Control Validation(DCV)再利用期間も短縮します:
| 日付 | 最大DCV再利用 |
|---|---|
| 現在 | 398日 |
| 2026年3月 | 200日 |
| 2027年3月 | 100日 |
| 2029年3月 | 10日 |
DCV再利用 = 認証局が以前のドメイン検証結果を再利用できる期間。2029年までに、証明書が47日間有効でも10日ごとにドメイン管理を再検証する必要があります。つまり検証は一回限りのイベントではなく、完全に自動化される必要があります。
ACMEクライアント(GetHTTPS、Certbot、acme.sh)では、各更新に新しいチャレンジが含まれるためシームレスです。商用認証局での手動ワークフローでは、大幅な運用オーバーヘッドが追加されます。
今から準備する方法
既にLet’s Encrypt + Certbot/acme.shを使用している場合
既に90日証明書で自動更新を使用しています。アクション不要。 有効期間が47日に短縮されても、cronジョブが処理します — 既に1日2回チェックしています。
GetHTTPS(手動更新)を使用している場合
現在約60日ごとに更新しています。47日証明書では約30日ごとになります。オプション:
- 手動を継続 — 30日ごとにリマインダーを設定。1〜3ドメインなら実行可能。
- ハイブリッドアプローチ — 最初の証明書にGetHTTPSを使用し、自動更新にCertbotをインストール。
- 様子を見る — 47日制限は2029年3月。時間はあります。
有料の1年証明書を使用している場合
今すぐ計画を始めてください:
- Let’s Encryptを評価 — 2029年までに有料と無料の証明書は同じ更新頻度。プレミアムは価値がある?
- ACME自動化を実装 — 商用認証局もACMEをサポート(DigiCert、Sectigo)
- 自動化ツールの予算 — 100以上の証明書を管理する場合は証明書ライフサイクル管理プラットフォーム
誰が投票したか
議決案(SC-081)は4大ブラウザベンダーすべてに支持されました:
- Apple — 変更を提案
- Google — 賛成票
- Mozilla — 賛成票
- Microsoft — 賛成票
認証局の反対は混在していましたが、ブラウザベンダーには拒否権があります。変更は実行されます。
よくある質問
Let’s Encryptは90日の有効期間を変更しますか?
Let’s Encryptは新しいルールが発効した際に47日に短縮するか、最大内であれば90日を維持する可能性があります。いずれにしても更新プロセスは変わりません — ほとんどのユーザーは既に60日目に更新しています。
既に発行された証明書に影響しますか?
いいえ。既に発行された証明書は記載された有効期限まで有効です。新しいルールは発効日以降に発行される証明書に適用されます。
今すぐLet’s Encryptに切り替えるべきですか?
1年の有料証明書を支払っているなら、コスト/ベネフィット比は急速に変化しています。Let’s Encryptの90日モデルは既に47日の将来に近く、エコシステム(Certbot、acme.sh、GetHTTPS)は成熟しています。今切り替えれば、変更が来たときに準備ができています。
古いデバイスやブラウザが壊れますか?
いいえ。変更は最大有効期間についてであり、証明書の形式やTLSバージョンではありません。現在の証明書で動作する古いデバイスは、短命の証明書でも動作します。デバイスは証明書がどのくらいの期間有効かを知りません。有効期限を確認するだけです。
内部/プライベート証明書はどうですか?
この変更は公的に信頼された証明書のみに適用されます(ブラウザのトラストストアに含まれるもの)。企業ネットワーク向けの証明書を発行する内部認証局はCA/B Forumルールに拘束されません。