ウェブブラウザメーカー、ソフトウェア開発者、セキュリティ証明書発行者で構成される業界団体 CA/Browser Forum は、HTTPS 証明書の有効期間を 27 か月から 13 か月に短縮することを検討している。
この計画は、今年初めにグーグルのライアン・スリーヴィ氏が会議で提案したもので、まだ草案段階にある。証明書の有効期間の上限が39か月から27か月に短縮されてからわずか1年後に発表された。投票がいつ行われるかはまだ発表されていない。
HTTPS 証明書は、基本的に、ブラウザとサイト間の接続を暗号化するために使用され、それらの接続が改ざんされたり盗聴されたりしていないことをソフトウェアが判断するのに役立ちます。
TLS/SSL証明書の有効期間が短縮されることで、ウェブサイトは証明書をより頻繁に更新する必要が生じます。これにより、ウェブサイトは安全でないアルゴリズムを使用する古い証明書を使い続けるのではなく、最新かつ最も推奨される暗号化技術とハッシュ技術を備えた証明書を使用するよう促されることが期待されます。また、有効期間の短縮は、理論的には、盗難された証明書がより早く無効になり、放置されたウェブサイトの証明書の有効期限が短くなるため、不正行為の削減にも役立つ可能性があります。
このような計画が提案されるのは今回が初めてではありません。2017年には、CA/ブラウザフォーラムが証明書の有効期間を39か月から13か月に短縮する提案を否決しました。
こうした動きの背景として、Let's Encryptは急成長を続けています。同社は90日間有効のHTTPS証明書を無料で発行しており、提供されているソフトウェアクライアントを使って自動更新・展開が可能です。Let's EncryptのTLS/SSL証明書はほぼすべてのブラウザとオペレーティングシステムでサポートされており、このサービスはHTTPS証明書を有料で提供する証明書販売業者に大きなプレッシャーをかけています。
GoogleはChromeのExtended Validation証明書のインジケーターを隠す予定だが、これはユーザーがほとんど気にしていなかったためだ
続きを読む
デジサートのティモシー・ホレビーク氏は、証明書の有効期間を13ヶ月に短縮する動きに反対する一人だ。彼は今週月曜日、証明書の有効期間短縮によるメリットは、企業が有料証明書をほぼ1年に1回更新しなければならないことで発生する追加コストと煩わしさによって相殺されると主張した。
つまり、有効期間を短縮することで、組織はDigicertのような企業に定期的に料金を支払うのではなく、Let's Encryptを無料で利用するようになる可能性があるということです。Digicertのような企業は、通常、証明書に数百ドルを請求します。顧客に頻繁に料金を支払うよう強制することは、収益を生むというよりは、むしろ顧客離れを招く可能性があります。
「証明書の有効期間を1年、あるいはそれ以下にまで急速に短縮することは、システム保護のためにデジタル証明書に依存している多くの企業にとって大きなコストとなります」とホレビーク氏は述べた。「これらのコストは、セキュリティの大幅な向上によって相殺されるものではなく、これらの変更は、違法行為に従事したり、正当な企業になりすましたりする悪質な行為者には影響を与えません。」
ホレベック氏はまた、証明書の有効期間を短くすることによるセキュリティ上の利点にも疑問を呈し、証明書が最新かつ安全であることを確認するためのより良い方法があると示唆した。
「証明書のセキュリティ向上という目標は、企業が自動化の活用を拡大し続け、システムをテストし、これらの変更に備えるための時間を確保することで、より効果的に達成できると考えています」とホレベック氏は述べている。「重要なのは、証明書の有効期間を短縮することによるメリットは理論上のものであり、変更、特に短期間での変更に伴うリスクとコストは現実のものであるということです。」®
