SSLサーバー証明書の有効期間が短縮される！？

この記事の執筆者

EGセキュアソリューションズ株式会社
プロダクト推進部 兼 マーケティング部　ディレクター

齊藤 和男

2008年 　株式会社ジェイピー・セキュア設立にあたり取締役に就任
2020年 　同社代表取締役に就任。イー・ガーディアングループに参画
2021年 　EGセキュアソリューションズ株式会社 取締役副社長に就任
2025年～ SiteGuard事業部 事業部長

私たちは日頃からインターネットを通じて、Webアプリケーションやサービスを利用し、その恩恵を受けています。その一方でWebサイトの改ざんや情報漏えいといった事件・事故が後を絶たないという実情もあり、Webサイトの運営者はセキュリティに対する正しい知識を身に付ける必要があります。

本稿では、Webサイトの運営に欠かせないSSLの動向に関し、SSLサーバー証明書の有効期間の短縮について解説します。

SSLとは

SSLはSecure Sockets Layerの略称で、クライアント（Webブラウザ）とWebサーバー間で送受信するデータを暗号化するプロトコルです。

インターネット上でやり取りする通信データを暗号化して盗聴を防ぐだけでなく、デジタル証明書の技術を組み合わせて実現されており、改ざんやなりすましを防ぐことができます。

SSLをもとにTLS（Transport Layer Security）が開発された経緯があり、TLSを含めてSSLと呼んだり、SSL/TLSのように併記されることが多くなっています。現在、TLS 1.3が最新バージョンとなっており、TLS 1.2以降が推奨されています。

WebブラウザとWebサーバー間の通信は、HTTP（Hypertext Transfer Protocol）でやり取りされますが、HTTPでは通信するデータが暗号化されないため、インターネット上にログイン情報や個人情報、決済に必要なクレジットカード情報などをHTTPのまま送信してしまうと悪意ある第三者に盗聴される恐れがあります。

そのため、SSLを活用してHTTPS通信でデータを保護する必要があるのです。

以前は、個人情報を取り扱う問い合わせフォームや会員ページ、クレジットカードを入力する必要のある決済ページなど、特定のページだけをHTTPSで通信することが多かったのですが、現在は全てのページをHTTPSで通信する常時SSL（Always On SSL）が普及しています。

【解説】Webセキュリティ ～Webサイトを取り巻く脅威と対策～

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

SSLサーバー証明書の種類

SSLに対応するには、WebブラウザとWebサーバ間の通信データを暗号化するための電子証明書であるSSLサーバー証明書が必要になります。

SSLサーバー証明書は、Webサイトの運営者の実在性を確認する認証レベルに応じて3種類あります。

ドメイン認証

ドメイン認証（DV:Domain Validation）は、3種類の中で認証レベルが最も簡易な証明書です。

申請者が証明書に記載のあるドメインの使用権を有しているかを確認することで発行されます。証明書に運営組織の記載はありません。 

企業認証

企業認証（OV: Organization Validation）は、証明書に記載される組織が実在し、その組織が証明書に記載されるドメインの所有者であることを確認して発行されます。

Webサイトの身分証明という点でワンランク上の信頼性があります。

EV認証

EV（Extended Validation）認証は、3種類の中で最も厳格な審査が行われ、認証レベルの高い証明書です。

証明書に記載される組織が実在するかの確認だけでなく、組織の所在地や申請者の情報や権限の確認が行われます。

証明書の有効期間が短縮される

ここまでSSLとは何か、サーバー証明書の種類について説明してきました。ここからは、本題の証明書の有効期間の短縮について解説していきます。

SSL証明書の有効期間は段階的に短縮されており、現在は最長398日（約13ヶ月）ですが、2026年3月15日からは200日、2027年には100日、2029年には47日へと短縮されることが決定しています。

有効期限短縮の必要性

過去には有効期限が最大5年のSSLサーバー証明書を利用できる時代もありましたが、何度かの短縮を経て、現在の398日（13ヶ月）にまで短縮されました。そして、2029年には47日まで短縮されることとなりました。

では、有効期限はなぜ短縮するのでしょう。それは、有効期限が短い方がセキュリティが向上すると考えられているからです。

SSLサーバー証明書はWebサイトの運営者の実在性を証明しますが、有効期限が長いほど信頼性が低くなることや、企業の合併など情報変更に対応するためにも定期的な更新・変更が望ましいと考えられています。

有効期限短縮による運用負荷の増加

これまで約1年毎に行っていたSSLサーバー証明書の更新ですが、47日に短縮されると頻繁な更新作業が必要になります。そのため、作業負荷の増加、人為的ミスといったリスクの増加が考えられます。

この変更、短縮に対応するため、証明書の発行や更新を自動化するACMEプロトコルの導入が不可欠となっており、SSL証明書の管理を自動化するソリューションなどを検討する必要があります。

また、クラウド型WAFを導入する場合、クラウド型WAFに対してSSLサーバー証明書の導入が必要になり、Webサイトと同様に証明書の更新を行う必要があります。

EGセキュアソリューションズ株式会社が提供するクラウド型WAF「SiteGuard Cloud Edition」では、Let’s EncryptのSSLサーバー証明書の自動更新機能を標準搭載しています。

クラウド型WAF（SiteGuard Cloud Edition）の詳細はこちら

証明書の有効期限を気にしたり、更新の手間を省くことができますので、Webサイトのセキュリティ対策として、WAFの導入をご検討の際はお気軽に当社までご相談ください。

まとめ

常時SSLが当たり前となった時代に、業界およびWebサイト運営者にとって、「SSL証明書の有効期間が短縮される」という動きは衝撃的で影響の大きいものです。

しかし、セキュリティの面では、実態の確認を伴うEV認証の性質や演算技術向上による暗号化アルゴリズム解読のリスク回避などのためにも、定期的に且つこまめに更新・変更することが安全なインターネット接続環境の維持につながると考えられます。

関連記事：常時SSL時代のセキュリティ

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。