2025年4月11日、認証局(CA)と主要ブラウザベンダーで構成される業界団体「CA/Browser Forum(CA/Bフォーラム)」が、SSL/TLS証明書に関する重要な決定を下しました。サーバー証明書の最大有効期間を段階的に短縮し、最終的に47日にするという改訂案(Ballot SC-081v3)が正式に可決されたのです(※1)。
この決定により、2026年3月15日から段階的な短縮が始まり、2029年3月15日以降に発行される公開TLSサーバー証明書は最長でも47日間しか有効でなくなります(※2)。
Apple、Google、Microsoft、Mozillaといった主要ブラウザベンダーもこの決定に賛成しており、インターネット全体に影響が及ぶことは確実です。企業のシステム管理者やWebサイト運営者にとって、これは証明書管理の方法を根本から見直さなければならない大きな転換点となります。
SSL/TLS証明書の有効期間短縮とそのスケジュール
SSL/TLS証明書の最大有効期間が段階的に短縮
現在398日間有効な証明書が、以下のスケジュールで段階的に短縮されます(※2)。
SSL/TLS証明書の有効期間
| 期間 | 最大有効期間 |
|---|---|
| 現在~2026年3月14日 | 398日(約13か月) |
| 2026年3月15日~2027年3月14日 | 200日(約6.5か月) |
| 2027年3月15日~2029年3月14日 | 100日(約3か月) |
| 2029年3月15日以降 |
47日(約1.5か月) |
重要な注意点として、証明書の有効期間は「1日=86,400秒」で計算されます。これを1秒でも超えると翌日扱いになるため、実際の運用では余裕を持った期限設計が必要です(※2、参考:※3)。
ドメイン認証の有効期間も大幅短縮
証明書を発行する際に必要な「ドメイン認証」(DCV:Domain Control Validation)の有効期間も同様に短縮されます(※2)。
ドメイン認証の有効期間
| 期間 | 再利用可能期間 |
|---|---|
| 現在~2026年3月14日 | 398日(約13か月) |
| 2026年3月15日~2027年3月14日 | 200日(約6.5か月) |
| 2027年3月15日~2029年3月14日 | 100日(約3か月) |
| 2029年3月15日以降 |
10日 |
最終的には、一度実施したドメイン認証の結果を再利用できるのはたった10日間になります。これは証明書の発行・更新と認証を自動的に連動させる仕組みが必須になることを意味します。
証明書の有効期間を短縮する理由
1.証明書の信頼性を高めるため
証明書に記載される情報(組織名、ドメイン名など)は、認証局が審査した時点での情報です。時間が経つほど、実際の状況と証明書の内容にズレが生じる可能性が高くなります。有効期間を短くすることで、常に最新の情報を反映した証明書を使用できるようになります。
2.証明書の失効システムの問題を解決するため
現在使われている証明書失効システム(CRLやOCSP)には、以下のような問題があります。
- 確実に機能しない場合がある
- 動作が遅い
- プライバシーの懸念がある
証明書の有効期間を短くすれば、問題のある証明書が使われる期間も短くなり、これらの問題の影響を最小限に抑えられます。
3.新しい暗号技術への移行を速めるため
セキュリティ技術は日々進化しており、新しい暗号方式への移行が必要になることがあります。証明書の有効期間が短ければ、新しい技術をより早く普及させることができます。
4.自動化を促進するため
手動での証明書管理が現実的でなくなることで、業界全体が自動化に移行し、結果的にヒューマンエラーが減り、セキュリティレベルが向上します。
なぜ47日なのか―技術的背景と根拠
技術仕様では46日を推奨、47日を上限として規定しています(※2)。この日数の根拠は以下の通りです。
「31日(最も長い月)+ 15日(30日の半分)+ 1日(余裕)= 47日」
これは実際の運用で耐えられる現実的な上限として設計されました。同様に、100日や200日も「最大月の組み合わせ+1日の余裕」という考え方で決められています。
SSL/TLS証明書有効期間短縮のこれまでの経緯
SSL/TLS証明書の有効期間は、これまでも段階的に短縮されてきました。
2018年3月:最大825日(約2年3か月)に短縮(※2)
2020年9月:最大398日(約13か月)に短縮(※3)
2023年3月:Googleが90日への短縮を提案(※4)
2024年10月:Appleが45日への短縮を提案
2024年12月:Appleが提案を47日に修正
2025年4月11日:正式に可決、段階的短縮が決定(※1, ※2)
企業への影響と運用リスク
手動での証明書管理は不可能に
2027年の100日段階でも年4回以上の更新が必要となり、手動での管理は現実的ではありません。2029年の47日になれば、年8回の更新が必要となり、完全に自動化しなければ対応できません。
ドメイン認証も頻繁に必要に
2029年以降は、ドメイン認証の結果を再利用できるのがわずか10日間となります。証明書の発行・更新のたびに、ほぼ新規で認証作業が必要になります。
運用ミスのリスクが増大
更新頻度が増えることで、更新忘れや設定ミスのリスクも増加します。証明書の期限切れは、Webサイトへのアクセス不能やブラウザでの警告表示につながり、企業の信頼性を大きく損なう可能性があります。
SSL/TLS証明書短期化への実務対応チェックリスト
1.現状把握(棚卸し)
まず、以下の情報を整理しましょう。
- 管理しているすべての公開SSL/TLS証明書
- それぞれの証明書の発行元(認証局)
- 証明書が設置されている場所(Webサーバー、ロードバランサー、CDN、WAFなど)
2.自動化システムの検討
以下の選択肢から、自社に適した方法を選びます。
- ACME:証明書の自動発行・更新の標準プロトコル(Let's Encryptだけでなく、商用認証局も対応)(※4)
- ARI:ACME Renewal Informationによる更新タイミングの最適化(※5)
- CLM:証明書ライフサイクル管理製品による統合管理
3.更新タイミングの設計
- 有効期間の3分の2が経過した時点で自動更新するよう設定(47日の場合、約30日目で更新開始)
- 「1日=86,400秒」の規定による計算ミスを避けるため、常に期限に余裕を持たせる(※2)
4.鍵管理と配信の仕組み
- 証明書と秘密鍵の管理システム(HSM/KMS)の準備
- サービス停止なしで証明書を更新する仕組みの構築
- 複数拠点(CDN、エッジサーバーなど)への証明書配信の自動化
5.監視とテスト体制
- 証明書の有効期限を常時監視するシステムの導入
- 証明書設定の不備を検出できる仕組みの構築
- テスト環境での自動更新の動作確認
主要ベンダーによる自動化ソリューション比較
各認証局は、証明書の自動管理を支援するさまざまなツールを提供しています。
デジサート(DigiCert)
・Webサーバーに直接インストールする「エージェント型」と、別サーバーから管理する「センサー型」の2種類
・Linux、Windows、各種ロードバランサーに対応
・既存環境への影響を最小限に抑えた導入が可能
サイバートラスト(Cybertrust)
・無償で利用可能
・ACMEプロトコルによる完全自動化
・iTrust SSL/TLS証明書との連携
GMOグローバルサイン(GlobalSign)
・ACMEによる自動発行・更新
・OV証明書のACME発行にも対応(※6)
よくあるご質問(FAQ)
Q. OV証明書やEV証明書も47日に短縮されるのですか?
A. はい、すべての公開TLSサーバー証明書が対象です。組織認証(OV)や拡張認証(EV)証明書も同じ期限が適用されます。ただし、組織情報の再利用期間は825日から398日への短縮にとどまります(※2)。
Q. なぜ90日ではなく47日なのですか?
A. 2023年にGoogleが90日を提案しましたが(※4)、最終的にAppleが提案した47日案が採用されました。「31日+15日+1日」という計算で、実運用に耐える期間として設計されています(※2)。
Q. 段階を踏まず、いきなり47日になるのですか?
A. いいえ、2026年、2027年、2029年の3段階で徐々に短縮されます。段階的な移行により、企業が準備する時間を確保できます(※2)。
Q. 証明書の料金は増えますか?
A. 契約内容によります。多くの認証局では年額契約で再発行が含まれているため、更新回数が増えても追加料金は発生しません。ただし、自動化ツールの導入には初期投資が必要です。
Q. 内部向けの証明書も対象ですか?
A. いいえ、今回の短縮は「公開」TLSサーバー証明書のみが対象です。社内システム用の証明書(プライベート証明書)は影響を受けません(※2)。
量子コンピュータ時代に備える証明書運用
量子コンピュータの発展により、現在使われている暗号技術が10年以内に解読される可能性が指摘されています。これに対応するため、「耐量子暗号(PQC)」と呼ばれる新しい暗号技術の標準化が進んでいます(※7)。
証明書の自動化システムを今から導入しておけば、将来PQC対応証明書への移行が必要になった際も、スムーズに対応できます。短い有効期間と自動化の組み合わせは、新技術への迅速な対応を可能にするのです。
まとめ―短期化をチャンスに変えるために
証明書の有効期間短縮は、今後避けられない流れです。
・2029年(47日)では完全自動化が必須
今すぐ取り組むべきこと
・自動化の検討:ACME/CLMツールの選定と導入計画
・体制整備:更新フローの見直しと担当者のトレーニング
この変化を「負担」ではなく「セキュリティ強化と運用効率化の機会」と捉え、早期の対応を進めることが重要です。適切な自動化体制を整えることで、より安全かつ効率的な証明書管理を実現できます。
|
フューチャースピリッツでは、お客様のSSL/TLS証明書管理をサポートする 
|
今回の有効期間短縮により、証明書の更新頻度が大幅に増加することは避けられません。しかし、この変更がお客様の運用負担増加につながらないよう、私たちは以下の取り組みを進めています。
- サービス内容の拡充:自動化対応を含む新たなサービスメニューの準備
- サポート体制の強化:段階的な短縮に合わせた適切なタイミングでの対応
- お客様への情報提供:最新動向と対策に関する継続的な情報発信
詳細なサービス内容については、準備が整い次第、改めてお知らせいたします。証明書管理に関するご不安やご質問がございましたら、お気軽にお問い合わせください。
【脚注・参考文献】
本記事は2025年9月17日時点の情報に基づいています。最新の情報については、CA/Browser Forumおよび各認証局の公式サイトをご確認ください。
2.BR-SC081v3(改訂PDF・最大有効期間/46・47日/1日=86,400秒/データ再利用期間)
3.Apple Support:398日制限の案内(2020-09-01~)
4.Chromium Blog(Google):90日構想と自動化の文脈
5.IETF RFC 9773:ACME Renewal Information(ARI)
6.GlobalSign:ACMEでOV証明書をサポート発表
7.NIST CSRC:Post-Quantum Cryptography FIPS Approved(FIPS 203/204/205)
