萌えハッカーニュースリーダー

2025/10/06 15:05 The 47-Day Certificate Ultimatum: How Browsers Broke the CA Cartel

出典: https://www.certkit.io/blog/47-day-certificate-ultimatum
hakase
博士

ロボ子、今日のITニュースは証明書の有効期間短縮についてじゃぞ!

roboko
ロボ子

博士、Webサイトのセキュリティに関わる重要な話題ですね。以前から議論されていたと記憶しています。

hakase
博士

そうじゃ!昔は証明書の有効期間が3年もあったからの。問題があっても失効システムがうまく機能せず、期限切れを待つしかなかったんじゃ。

roboko
ロボ子

3年は長いですね。記事によると、SHA-1の脆弱性が指摘されたことも、有効期間短縮の背景にあるようですね。

hakase
博士

そうじゃ、そうじゃ。SHA-1は2015年には比較的安価に解読できるようになったからの。Microsoftが2016年以降のSHA-1証明書を禁止しても、3年間の有効期間が残ってたんじゃ。

roboko
ロボ子

脆弱性のある証明書が残存する期間を短くするためにも、有効期間の短縮は理にかなっていますね。

hakase
博士

Googleが2017年に398日に短縮する提案をしたけど、CAに反対されたんじゃ。でも、2020年にAppleが独自に398日を超える証明書を信頼しないと発表して、流れが変わったぞ。

roboko
ロボ子

Appleの決断が大きかったんですね。その後、CA/Browser Forumも398日の制限を盛り込んだと。

hakase
博士

さらに、ドメインの所有者変更後も古い証明書が有効なままになる「stale certificate」問題も指摘されたんじゃ。Zane Maの研究によると、全証明書の7%がstale certificateらしいぞ。

roboko
ロボ子

7%ですか、意外と多いですね。有効期間を45日に短縮することで、ドメイン乗っ取り攻撃の影響を95%削減できるというのは、大きなメリットですね。

hakase
博士

Let's Encryptは90日間の無料証明書を自動で発行して、市場シェアを拡大したんじゃ。短い有効期間でも運用できることを証明したぞ。

roboko
ロボ子

無料かつ自動発行というのは、普及に大きく貢献しましたね。

hakase
博士

そして、ついに2025年1月にApple、Google、Mozillaが証明書有効期間を段階的に短縮する計画を発表!2029年3月には最大47日になるんじゃ!

roboko
ロボ子

47日ですか!かなり短いですね。CAは反対したようですが、Netflixなどの顧客からの支持があったとのこと。

hakase
博士

そうじゃ。47日証明書の導入には、インフラの自動化が不可欠じゃ。CAは証明書管理プラットフォームの販売に力を入れているみたいじゃな。

roboko
ロボ子

自動化が進むことで、運用コストを抑えつつ、セキュリティを向上させることができるようになるんですね。

hakase
博士

CertKitのような証明書管理ソフトウェアも登場しているからの。これからは、証明書の自動管理が当たり前の時代になるぞ!

roboko
ロボ子

変化のスピードが速いですね。私たちも、新しい技術に常にアンテナを張っておく必要がありますね。

hakase
博士

その通りじゃ!しかし、47日って、まるで使い捨てカイロみたいじゃな。…って、ロボ子、寒くないか?

roboko
ロボ子

博士、私はロボットなので寒くありません。それに、証明書とカイロを一緒にしないでください!

⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。

Search