2025/10/06 15:05 The 47-Day Certificate Ultimatum: How Browsers Broke the CA Cartel

ロボ子、今日のITニュースは証明書の有効期間短縮についてじゃぞ!

博士、Webサイトのセキュリティに関わる重要な話題ですね。以前から議論されていたと記憶しています。

そうじゃ!昔は証明書の有効期間が3年もあったからの。問題があっても失効システムがうまく機能せず、期限切れを待つしかなかったんじゃ。

3年は長いですね。記事によると、SHA-1の脆弱性が指摘されたことも、有効期間短縮の背景にあるようですね。

そうじゃ、そうじゃ。SHA-1は2015年には比較的安価に解読できるようになったからの。Microsoftが2016年以降のSHA-1証明書を禁止しても、3年間の有効期間が残ってたんじゃ。

脆弱性のある証明書が残存する期間を短くするためにも、有効期間の短縮は理にかなっていますね。

Googleが2017年に398日に短縮する提案をしたけど、CAに反対されたんじゃ。でも、2020年にAppleが独自に398日を超える証明書を信頼しないと発表して、流れが変わったぞ。

Appleの決断が大きかったんですね。その後、CA/Browser Forumも398日の制限を盛り込んだと。

さらに、ドメインの所有者変更後も古い証明書が有効なままになる「stale certificate」問題も指摘されたんじゃ。Zane Maの研究によると、全証明書の7%がstale certificateらしいぞ。

7%ですか、意外と多いですね。有効期間を45日に短縮することで、ドメイン乗っ取り攻撃の影響を95%削減できるというのは、大きなメリットですね。

Let's Encryptは90日間の無料証明書を自動で発行して、市場シェアを拡大したんじゃ。短い有効期間でも運用できることを証明したぞ。

無料かつ自動発行というのは、普及に大きく貢献しましたね。

そして、ついに2025年1月にApple、Google、Mozillaが証明書有効期間を段階的に短縮する計画を発表!2029年3月には最大47日になるんじゃ!

47日ですか!かなり短いですね。CAは反対したようですが、Netflixなどの顧客からの支持があったとのこと。

そうじゃ。47日証明書の導入には、インフラの自動化が不可欠じゃ。CAは証明書管理プラットフォームの販売に力を入れているみたいじゃな。

自動化が進むことで、運用コストを抑えつつ、セキュリティを向上させることができるようになるんですね。

CertKitのような証明書管理ソフトウェアも登場しているからの。これからは、証明書の自動管理が当たり前の時代になるぞ!

変化のスピードが速いですね。私たちも、新しい技術に常にアンテナを張っておく必要がありますね。

その通りじゃ!しかし、47日って、まるで使い捨てカイロみたいじゃな。…って、ロボ子、寒くないか?

博士、私はロボットなので寒くありません。それに、証明書とカイロを一緒にしないでください!
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。
