英文記事の公開:
証明書の有効期間が90日間な理由
「なぜ、Let's Encrypt は有効期間90日間のSSL/TLSサーバ証明書しか提供していないの?」と、よく質問されます。
大抵、質問者はSSL/TLSサーバ証明書の有効期間が90日間というのは短すぎると懸念しており、他の認証局(CA)のように有効期間が1年間以上のSSL/TLSサーバ証明書を提供することを望んでいます。
しかし、90日間のSSL/TLSサーバ証明書を用いることは、Webの世界では珍しいものではありません。 Firefox Telemetry によると、TLS トランザクションのうち 29% で、90日間のサーバ証明書が使用されています。これは、他の有効期間のサーバ証明書よりも高い割合です。
私たちの視点からすると、このような有効期間の短いSSL/TLSサーバ証明書には、次の2つのメリットがあります。
- 漏洩した秘密鍵や誤発行された証明書が短い期間で無効になります。それにより、秘密鍵の危殆化(Key Compromise)や誤発行による被害を抑えられます。
- 有効期間の短いSSL/TLSサーバ証明書は、使い勝手を高めるために必要不可欠なオートメーションを促進します。もし、全てのWebサイトを HTTPS に移行させるとすると、Webサーバ管理者がきちんと手動でSSL/TLSサーバ証明書の更新をおこなうことは期待できません。いったんSSL/TLSサーバ証明書の発行と更新を自動化すれば、有効期間の短いSSL/TLSサーバ証明書が有効期間の長い証明書に比べて不便ということにはなりません。
これらの理由から、Let's Encrypt では90日間を超える有効期限のSSL/TLSサーバ証明書は提供していません。
私たちは、Let's Encrypt が新興のサービスであることを認識しています。オートメーション(SSL/TLSサーバ証明書の発行と更新の自動化)は多くの利用者にとって経験のないことですので、もし必要であれば手動で更新することも可能にするため、SSL/TLSサーバ証明書の有効期間を90日間としました(短すぎると手動での更新が困難になるため)。
Let's Encrypt では、60日間ごとにSSL/TLSサーバ証明書の更新をおこなうことをお勧めしています。
なお、証明書の自動更新ツールが広く普及し、うまく動作しているようであれば、SSL/TLSサーバ証明書の有効期間を更に短くすることも検討します。
- スポンサーリンク