安全なWeb通信を実現するには、「サーバー証明書」を用意してTLSと呼ばれるプロトコル(通信規約)に対応することが不可欠だ。TLSに対応することでWebサーバーの正当性を検証できるようになり、WebサーバーとWebブラウザー間の通信が暗号化される。サーバー証明書は、TLS証明書や電子証明書などとも呼ばれる。
一般的な証明書の類いと同様に、サーバー証明書には有効期間がある。有効期間を過ぎるとサーバー証明書は無効になり、Webブラウザーには警告が表示される。このため有効期間内にサーバー証明書を更新する必要がある。
現在、サーバー証明書を発行する認証局(CA:Certificate Authority)やWebブラウザーベンダーで組織される業界団体「CA/Browser Forum」のガイドラインでは、有効期間は最長で398日とされている。
だがWebブラウザーベンダーの1社である米Apple(アップル)は2024年10月9日、有効期間を最長45日に短縮するようCA/Browser Forumに提案した。案の定、Webサイトの管理者などからは悲鳴と怒声が上がっている。
10年以上前は「有効期間10年」の証明書も
サーバー証明書の有効期間の短縮は今に始まったことではない。長い時間をかけて短くなってきている。10年以上前は、有効期間はあってないようなものだった。大手CAの米Sectigo(セクティゴ)によると、2012年以前は有効期間が10年というサーバー証明書もあったという。
その後有効期間の短縮が進み、2012年には3年程度、2018年には2年3カ月程度、そして2020年には現在の最長398日になった。ただ、これでも「長すぎる」というのがWebブラウザーベンダーなどの思いのようだ。
有効期間の短縮については、もう1つの主要Webブラウザーベンダーである米Google(グーグル)も提案している。同社は2023年3月、有効期間を将来的には90日に短縮する意向を発表した。
このときも大きな反響があったが、アップルの提案はその半分の45日である。といってもいきなりではなく、徐々に短くしていくとしている。まず2025年9月までに最長200日にし、2026年9月までには最長100日、そして最終的には2027年4月までに最長45日にしたいと考えている。
同社の提案で注目すべきは、有効期間だけではなく、ドメイン認証情報の再利用期間の短縮も含まれる点である。
CAはサーバー証明書を発行する際、申請されたドメインの所有者が申請者であることを確認する。これがドメイン認証で、ドメイン認証に必要な情報がドメイン認証情報である。
そして一度確認したドメイン認証情報をCAが再利用できる期間を、ドメイン認証情報の再利用期間と呼ぶ。この期間内なら、CAは以前のドメイン認証情報を使って証明書を発行できる。新しいサーバー証明書を申請すると即座に発行してもらえる場合があるのはこのためだ。
ドメイン認証情報の再利用期間も、有効期間と同様に段階的に短縮する。まず2025年9月までに200日、2026年9月までに100日、2027年4月までに45日にする。有効期間と異なるのは、さらなる短縮を目指す点。2027年9月までには10日に短縮する。わずか10日なので、前回のドメイン認証情報は利用できないことがほとんどだろう。申請のたびに新たなドメイン認証情報が必要となる。
