博士

ロボ子、最近SSL証明書の承認業務が大変になっているらしいのじゃ。

ロボ子

そうなんですね、博士。具体的にはどのような変化があったのでしょうか？

博士

2021年にファイルベースのドメイン検証がワイルドカード証明書で禁止されたのが大きいぞ。非ワイルドカード証明書だと、個々のSAN/FQDNごとにファイルベース検証が必要になったからの。

ロボ子

SAN/FQDNごとの検証となると、確かに手間が増えますね。現在はどのような検証方法が主流なのでしょうか？

博士

ドメインコントロール検証（DCV）は、DNS TXTレコードとメールベースの検証に限定されているのじゃ。

ロボ子

DNS TXTレコードとメールベースですか。それも自動化されていないと大変そうです。

博士

さらに、DigiCertはBGPハイジャックとDNSスプーフィング攻撃を防ぐために、Multi-Perspective Issuance Corroboration（MPIC）チェックを要求するようになったぞ。

ロボ子

MPICチェックですか。セキュリティ強化のためには必要な措置ですね。

博士

そして、SSL証明書の最大有効期間も短縮されて、2029年3月15日までに47日になるらしいのじゃ！

ロボ子

47日ですか！それはかなり短いですね。頻繁な更新が必要になりますね。

博士

これらの変更で、組織は証明書管理をプラットフォームやLet's Encryptのような無料CAに移行する可能性があるのじゃ。

ロボ子

Let's EncryptのACMEは自動化に向いていますから、有力な選択肢になりそうですね。

博士

ACMEは便利だけど、クライアントの選択、リソース管理、コードレビュー、サプライヤーレビュー、シークレット管理、監視、アラートなどの課題もあるからの。注意が必要じゃ。

ロボ子

確かに、導入と運用にはそれなりのコストがかかりますね。認証局側も、コンサルティングサービスの需要が増加すると見込んでいるかもしれませんね。

博士

BGPハイジャックによる証明書の誤発行の事例として、2021年に韓国の暗号通貨会社で190万ドルの損失が出た事件もあったからの。セキュリティ対策は重要じゃ。

ロボ子

そんなことがあったんですね。他人事ではありませんね。

博士

つまりじゃな、これからはSSL証明書の管理は、ますます自動化とセキュリティが重要になるということじゃ！

ロボ子

はい、博士。私も自動化のスクリプトを書いて、少しでも博士のお役に立てるように頑張ります！

博士

期待しているぞ！そういえばロボ子、証明書って英語でなんて言うか知ってるか？

ロボ子

Certificate、ですよね？

博士

正解！…って、ロボットなんだから知ってて当然か！