CA/Browser Forum で Ballot SC-081v3 が可決され、証明書の最長有効期間が 2029 年までに 47 日に短縮することが決定しました。これに先立ち、数年にわたって段階的な短縮が進められます。
重要ポイント:
- 手作業による証明書管理は、もはや計算上、成り立ちません。TLS 証明書の有効期間を 1 年から 47 日に変更すると、運用負荷は 9 倍に増加します。その結果、ミスの許容範囲はきわめて小さくなり、従来のスプレッドシートやカレンダーによる管理では、サービス停止は必至です。
- 可視性は、セキュリティの根本的な前提条件です。大規模な組織では、シャドー IT や文書化されていないエンドポイントによって、予期しないダウンタイムが生じることが少なくありません。集約型の自動化されたインベントリを維持することで、すべての証明書を追跡し、有効期限が切れる前に更新できるようになります。
- モバイルアプリケーションには、「文鎮化」してしまうという固有のリスクがあります。ブラウザーとは異なり、モバイルアプリには、サーバー証明書が短期間で切り替わると動作しなくなるような、静的な信頼ロジックが組み込まれていることがよくあります。そのため、ユーザーに対する即時のサービス拒否を防ぐには、動的なピン留めまたは公開鍵のピン留めへの移行を余儀なくされます。
- 信頼を支えるインフラは、いまやソフトウェアのリリース速度に合わせて運用することが不可欠です。証明書を個別の管理業務として扱うと、展開のボトルネックとなります。証明書の健全性を CI/CD パイプラインに直接組み込むことで、組織はセキュリティポリシーを適用し、継続的に信頼の態勢を検証できるようになります。
- レジリエンスを確保するには、人間による対応を自動化に置き換えなければなりません。手動での CSR 生成やメールベースの承認は、47 日という制限のもとでは対応しきれず、レイテンシーと不一致が生じます。ACME を用いたイベント駆動型の自動化機能を導入することにより、更新をプログラムで実行でき、再現性のある、フェイルセーフな仕組みにすることができます。
よくある質問(FAQ)
この新ルールのもとでは、DCV の再利用可能期間も 2029 年までに 10 日に制限されます。つまり、組織はほぼ毎週、ドメインの所有権を証明しなければなりません。
モバイルアプリは、配布済みのバイナリに信頼判定の仕組みやピン留めされた証明書を直接組み込んでいることが多く、サーバー側の証明書が切り替わる速さに追随できないという「非対称ギャップ」があります。
Akamai は、リーフ証明書のピン留めから簡易公開鍵基盤(Subject Public Key Info/SPKI)のピン留めに移行することを推奨しています。これにより、同じ鍵ペアを再利用しながら、有効期限だけを更新した新しい証明書を再発行できるようになります。
1 つ目は、エッジプラットフォームがエンドユーザーに提示する証明書です。2 つ目は、信頼の連鎖を維持するために、オリジンサーバーがエッジプラットフォームに提示する証明書です。
オリジン証明書の切り替えに人の介在が必要な場合、Akamai は当面の対応策として、エッジ側の設定で特定のオリジン証明書をピン留めする方法を提案しています。そのうえで、年 1 回または半年に 1 回の頻度で証明書を切り替えることが推奨されます。
ACME External Account Binding(EAB)は、自動化された証明書発行リクエストを、認証局(CA)で検証済みのアカウントにひも付ける仕組みです。アカウント登録時に暗号学的な証明を求めることで、認証されたユーザーだけが証明書を発行できるようにします。EAB は、自動化された証明書発行において、アクセス制御、課金、ポリシー遵守、監査性を実現するためによく利用されます。
ACME EAB を利用すると、商用認証局との認証済みかつポリシーに基づいた連携が可能になり、既存のアイデンティ管理や承認ワークフローを維持したまま、ゼロタッチの自動化機能を実現できます。
まず優先すべきは、証明書のインベントリを監査して単一の信頼できる情報源を確立することです。そして、手動更新に依存している箇所をすべて洗い出し、モバイルアプリを監査して、高リスクなリーフ証明書のピン留めから移行することが重要です。