米グーグルがHTTPS(TLS)に対応したWebサイトに使われるサーバー証明書の有効期間を現行の最長825日(2年3カ月)から397日(13カ月)に短縮するよう業界ルールの改定を提案し、議論を呼んでいる。早ければ2020年4月以降に更新する証明書から適用を求める内容だ。

 HTTPSはユーザーがWebブラウザーでサーバーにアクセスする際に通信内容の改ざんを検知したり、データを暗号化して外部から盗み見られないよう安全性を高めたりできる。認証局(CA)が発行した証明書によって、Webサイトのドメインの所有者を確認できる。

 CAが発行する証明書のうち、ドメイン所有者の実在確認などの審査をする「EV SSL」は金融取引や個人情報などセンシティブなデータをやりとりする企業のWebサイトにとって必須の証明書だ。

 EV SSLを含めた全ての証明書は、運転免許証やパスポートと同様に有効期限がある。証明書の有効期限が切れるとブラウザーは警告を表示し、ユーザーが警告を無視しなければアクセスできなくなる。

 現行の証明書の有効期間が最長2年3カ月なのは、CAが2年間有効な証明書を発行する際に、サイト管理者らが3カ月間の重複した有効期間のうちに古い証明書の更新作業をできるようにするためだ。13カ月間への短縮は1年間の有効期間と1カ月の更新期間に短縮することになる。

世界のWebサイトに影響

 証明書の有効期間が短縮されるとHTTPSに対応した全世界のWebサイトに影響を与える。サイト管理者は従来よりも短いサイクルで証明書を更新する必要がある。

 グーグルは2019年6月にギリシャで開催した「CA/Browserフォーラム」の会合で、サーバー証明書の有効期間を13カ月に短縮する業界ルールの改定に向けた投票の実施を提案した。同フォーラムは各国にある53団体のCAとグーグルなど8つのブラウザーベンダーの会員で構成し、Webサイト認証などの世界的な業界ルールを作っている。

 なぜグーグルは有効期間の短縮を求めているのか。グーグルが主張する主な理由はWebサイト全体の安全性を高めるためというものだ。有効期間を短縮すれば古い暗号アルゴリズムや業界ルールに準拠したままの証明書を減らせるほか、誤った情報に基づく証明書によるリスクも少なくできるとグーグルは説明する。

図 CA/Browserフォーラムで投票の提案について議論している掲示板
(出所:CA/Browserフォーラム)
[画像のクリックで拡大表示]

 現行の有効期間ではCAによる審査済みのドメイン所有権やサイト運営者の情報に変更がなければ最長2年3カ月間は再審査が不要で、その間であれば再審査なく証明書を再発行できる。このため、発行直後に証明書の問題が発覚した場合、最長4年6カ月間は問題が残ったままの証明書が使われ続けてしまうとグーグルは指摘する。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら