SSL証明書の有効期間について

SSL証明書の有効期間について、将来的にさらに短くなる可能性がある、という気になる記事を発見したのでメモしておきます。

経緯

事の発端は以下の記事を読んだことです。

• 何度も短縮し過ぎ？！SSL証明書の有効期間がどんどん短くなる理由とは？ | さくらのSSL (2020/11/5)

399日以上の有効期間を持つSSL証明書は、2020年9月1日以降Apple Safari、Google Chrome、Mozilla Firefoxブラウザでは信頼されないことが決定されました。現在、CA/Browser フォーラムでは397日から9ヶ月→6ヶ月→90日と段階的に有効期間を短縮していく施策が検討されており、数年のうちに実施される可能性があります。こうなった場合、サーバー台数が多い大規模なシステムでは何十枚ものSSL証明書を60日程度のサイクルで入れ替える必要が出てくるため、更新の自動化が必須になると考えられます。

何度も短縮し過ぎ？！SSL証明書の有効期間がどんどん短くなる理由とは？ | さくらのSSL

確かに、去年の「SSL証明書の有効期間を最大398日とする」というニュースは大きなインパクトがあったことは記憶に新しい事象です。それが今後さらに、9ヶ月→6ヶ月→90日、と短くなる可能性がある、という部分が引っかかりました。

Let’s Encrypt のドメイン認証のSSL証明書ならば、既に有効期間が90日のものが発行されます。

しかし、 Let’s Encrypt は Automated Certificate Management Environment (ACME) プロトコル を用い、サーバに設定を施すことでSSL証明書の自動更新を可能としているため、影響はないと考えられます。

一方、SSL証明書を認証局から購入・発行するプロセスを手動で行っているようなケースでは、仮に1年更新が今後短くなっていった場合には手続きや作業が増えてしまい、影響が出てきそうです。

• SSL証明書の有効期間が90日に短縮された場合の影響とは？ | さくらのSSL (2020/12/8)

さくらでもその点について詳しく記載しています。

調査

さて、ここで個人的に気になったのはSSL証明書の有効期間を9ヶ月→6ヶ月→90日と減らしていく、という点のソースです。

議論が行われているのは “CA(Cretificate Authority) / Browser Forum” だということは分かりました。

• Maximum validity of TLS certificates is now 398 days | by Dorai Ashok S A | Medium (2020/8/25)

例えばこの記事では

The browser vendors have since took interest in reducing the lifetime of the certificates, due to problems in certificates issued by CAs and in deprecating weak ciphers. This put them at loggerheads with the Certificate Authorities, as evidenced in Ballot 185 (Feb ‘17). One thing to note here is that only one CA voted for the motion, against 24 other CAs. That CA was none other than Let’s Encrypt.

Maximum validity of TLS certificates is now 398 days | by Dorai Ashok S A | Medium

SSL証明書の有効期間が短くすることについて、2017/2に行われた “Ballot 185” というCAとブラウザベンダーの投票の例を挙げています。ブラウザベンダーはSSL証明書の有効期間を短くすることに賛成しましたが、 Let’s Encrypt を除く全てのCAは反対した、ということです。

• On public TLS certificates lifetime – (Fabio Alessandro Locati|Fale)’s blog (2020/9/13)

また、この記事では Apple がSafariで有効とするSSL証明書の有効期間を最大398日とする、と発表し、他のブラウザも追従したことで (Ballot の結果に反していたものの) 結果的にCAも398日までの証明書を発行せざるを得ない状況になった、ということに触れています。

ブラウザ側が強行すると CA / Browser Forum の Ballot の結果に寄らない場合もある、ということは留意しつつも、 CA / Browser Forum での動向が肝であろうということは窺えたので、 CA / Browser Forum の公式サイトを探すことにしました。

そこで、以下の記事を発見しました。

• Minutes for CA/Browser Forum F2F Meeting 49, Bratislava, 19-20 February 2020 | CAB Forum (2020/3/20)

Any Other Business

Questions on Apple’s 398 Day Max Validity Policy change

Presenter: Chris Bailey (Entrust)

Minute Taker: Wayne Thayer (Mozilla)

Chris – there is concern and I want to provide context. Ryan mentioned eventually wanting to move to 90 days. CAs polled their customers and asked if they could do that. Found only 8% of Entrust customers are automated. Only 11% of respondents said they were ready to move to 1-year durations. That is why we had the 1-year ballot. It was presented as “you need to do this or browsers will mandate”. I remember that the CAB Forum was originally created to set these policies and Apple’s move undermines this. Concerned with the direction being taken.

Minutes for CA/Browser Forum F2F Meeting 49, Bratislava, 19-20 February 2020 | CAB Forum

特に以下の一文。

Ryan mentioned eventually wanting to move to 90 days.

段階的に9ヶ月→6ヶ月→90日と減らす、という部分はないですが、最終的に90日にしようと検討している動きがあることは見て取れます。

ただ、後に続く文章のように、自動更新が行われているSSL証明書は(CAが顧客に行ったアンケートの結果では)8%しかないこと、1年間で移行できる準備があると回答したのは11%だった、ということで、実情として難しそうだという旗色も示されています。

ただ、 Apple や google といったブラザベンダー側はこの動きに賛成している、とも言及されており、先の Apple の例のようにブラウザで強行されると同じような結果が置きかねない、という懸念が考えられます。

---

以上より、9ヶ月→6ヶ月→90日と減らす、という部分は今回の調査では発見できませんでしたが、最終的に90日にする、という動きは見えてきたこと、 Apple や Google といったブラウザベンダーは賛成していることが見えてきました。

これらは、 Apple がSSL証明書の有効期間を最大398日間にするという発表が大きな影響を与えた2020年に話題になっていたことも分かりました。

まだ将来的にどうなるかは不明ですが、今後もチェックはしておきたい事項ですね。

追記(2021/6/22)

• 2017-03-22 F2F Meeting 40 Minutes | CAB Forum (2017/3/22)

Certificate lifetimes reduced to 13 months within 3 years, and 3-6 months in 5 years

2017-03-22 F2F Meeting 40 Minutes | CAB Forum

Mozilla の発表として上述の文言が見えました。2017/3/22から5年かけてSSL証明書の有効期間を3～6ヶ月にしたい、とのこと。

Peter: Curt (Apple) what’s your opinion on cert lifetimes?

Curt: I think we have similar thoughts. We’d like to reduce it, but we don’t want to reduce it too fast and cause heartburn. As far as CT, I can’t comment. We’ve mentioned before that we’re looking into it. No announcements on timelines.

2017-03-22 F2F Meeting 40 Minutes | CAB Forum

なお Apple も同じ方針を考えている模様。SSL証明書の有効期間を短くしていくという方針についての言及があったのでメモ。

参考

• 何度も短縮し過ぎ？！SSL証明書の有効期間がどんどん短くなる理由とは？ | さくらのSSL
• SSL証明書の有効期間が90日に短縮された場合の影響とは？ | さくらのSSL
• Maximum validity of TLS certificates is now 398 days | by Dorai Ashok S A | Medium
• Ballot 185 – Limiting the Lifetime of Certificates | CAB Forum
• On public TLS certificates lifetime – (Fabio Alessandro Locati|Fale)’s blog
• Minutes for CA/Browser Forum F2F Meeting 49, Bratislava, 19-20 February 2020 | CAB Forum
• 2017-03-22 F2F Meeting 40 Minutes | CAB Forum