orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

SSLサーバー証明書は2年物を買ってはいけない

f:id:orangeitems:20200411115223j:plain

 

SSLサーバー証明書は2年物を買うべきではない

今日の今日、今の今知ったことですが、たくさんの人に知られるべきだと思ってまとめます。サーバー証明書を購入する時、たいてい「1年」「2年」が選べると思います。更新作業は面倒なので、2年を選びたくなる方がいらっしゃると思いますが、この「2年」に大きな落とし穴があります。端的に言えば「1年」を購入するべきです。

その理由は、AppleのSafariにあります。

 

 

その理由

下記の記事を見てください。

 

ssl.sakura.ad.jp

AppleがSafariブラウザにおいて、2020年9月よりSSL証明書の最大有効期間を398日に短縮すると発表しました。突然発表された本対応の経緯やその影響、私たちがこれから取るべき対策についてご紹介します。

 

Appleの発表は2020/3/3です。もう一か月も経過するのに結構誰も知らないのではないかと思います。最近のWebサイトはiPhoneやMacbookからのアクセスのシェアはかなりありますからもはや「2年物」を買う文化自体を止めなければいけないということです。また、2020/8/31までに買った「2年物」は引き続き2020/9/1以降も信頼されるらしいのですが、もう止めたほうがいいですね。忘れるし。9月なんてすぐそこです。気づいた今日から運用ルールに組み入れた方がいいです。

 

ちなみに、昔は「3年物」なんて証明書もあったのですが、長すぎるとして廃止された歴史もあります。

 

rms.ne.jp

2017年2月17日、CA/ブラウザフォーラム(CA/Browser Forum)は投票193(Ballot193)を協議、議決し、SLL証明書の有効期間を短くすることを可決しました。

Entrustによって提案されたCA/ブラウザフォーラム投票193の可決により、SSL証明書の最長有効期間は、2年に更新と差し替えのための期間がプラスされた825日に短縮することに決定し、これは2018年3月1日に施行されます。
現在の最長有効期間は3年(正確には39ヶ月)であり、2018年2月末日まで取得できます。つまり、遅くとも2020年6月までに新しい2年間有効の証明書にリプレースする必要があります。

 

ただ、上記の本文中にもあるのですが、

 

2017年1月、Googleは証明書を13ヶ月に制限する提案をしましたが、認証局(CA)と他のブラウザの両方から反対され可決しませんでした。

 

とあり、もともとはGoogleがそうしたかったのに、今回Appleの方が先に2年物を信用しない判断を行ったということになります。

Safariがもうそうするのであれば、ChromeもFirefoxもEdgeも追随していくと思います。

 

 

証明書ベンダーの見解

証明書を発行しているベンダーからもコメントが出ています。

 

www.digicert.com

 

jp.globalsign.com

 

www.comodo.jp

 

まあ、各ベンダーも、「しようがないよね時代の流れだもんね。手間が増えるのはわかるから自動化するためのソリューションを考えるよ」みたいなことを言っています。

 

ということで、証明書新規購入・更新は、運用エンジニアの大事な仕事ではあるのですが、「2年物に手を出すな」は今後の共通ナレッジとなりそうです。

運用の手間を考えたら、10年物とか100年物とか永遠物があると嬉しいんですけどね(暴論)。