【重要】SSL/TLS証明書の新標準「47日間」ルールが正式決定
SSL/TLS 証明書の有効期間が段階的に短縮され、最終的に 2029 年に 47 日となることが CA/Browser Forum で正式決定しました。Apple が提案した本ルールは、業界全体の SSL/TLS 運用を大きく変えるインパクトを持ちます。本ページでは、決定の背景・スケジュール・必要な対策を解説します。
- 有効期間は段階的に短縮:200 日 → 100 日 → 47 日(2026〜2029)
- 最終的に年 8 回の更新が必要 ─ 手動運用は事実上不可能
- 対策は ACME 自動更新の導入。FujiSSL は OV ACME 対応で業界稀少
🔍 なぜ有効期間を短縮するのか
最大の理由は、セキュリティリスクへの迅速な対応です。証明書の有効期間が短いほど、以下のメリットが得られます。
短縮による主なメリット
- 鍵漏洩リスクの限定化 ─ 万が一秘密鍵が漏洩しても、影響範囲が短期間に限定される
- 不正発行への迅速な対応 ─ 不正に発行された証明書も短サイクルで自然失効する
- 暗号アルゴリズム移行の加速 ─ 将来の量子コンピュータ時代に向けた暗号方式の切り替えがスムーズになる
- 失効処理の重要性低下 ─ CRL / OCSP に頼らず、短い有効期間で実質的な失効が機能する
これらは Apple が提案理由として挙げた要点で、CA/Browser Forum の投票で可決されました。
📅 有効期間の変更スケジュール
新しいルールはすぐには適用されません。以下のスケジュールで段階的に短縮されます。
| 適用開始日 | 最大有効期間 | DCV 再利用期間 | 年間更新回数 |
|---|---|---|---|
| 2026 年 3 月 15 日 | 200 日 | 200 日 | 約 2 回 |
| 2027 年 3 月 15 日 | 100 日 | 100 日 | 約 4 回 |
| 2028 年 3 月 15 日 | 100 日 | 10 日 | 約 4 回(再認証頻度UP) |
| 2029 年 3 月 15 日 | 47 日 | 未定 | 約 8 回 |
ドメイン所有者確認の略で、証明書発行時に「申請者がドメインを実際に管理しているか」を確認する手続きです。メール認証 / DNS 認証 / HTTP ファイル認証の 3 方式があります。
DCV 再利用期間の短縮は影響大:2028 年からは 10 日に縮まるため、頻繁にドメイン認証を取り直す必要が出てきます。
⚙️ 47 日ルール時代に必要な準備
47 日という短い有効期間に対応するには、証明書運用の自動化が必須です。手動運用は事実上不可能となります。
必要な対策
-
ACME(自動証明書管理環境)の導入
IETF 標準プロトコル RFC 8555 に準拠した自動化基盤の導入。証明書の発行・取得・配置・リロードまで完全自動化できます。
-
短期間での再発行に対応できる運用設計
サーバ・ロードバランサ・CDN への自動反映、テスト環境と本番環境の連動など、運用フロー全体の自動化を設計します。
-
更新失敗時のリスク管理とアラート体制
自動更新が失敗した場合の検知・通知・代替手段を準備します。Slack / メール / 監視システムへの統合が一般的です。
🏢 FujiSSL の自動化対応について
当グループ運営の FujiSSL では、47 日ルール時代を見据えた自動化基盤を提供しています。「何から始めればいいかわからない」「社内体制が間に合わないかも」といった不安がある場合は、お気軽にご相談ください。
📊 FujiSSL と他社の自動更新対応比較
| 項目 | FujiSSL | A 社 | B 社 |
|---|---|---|---|
| DV 証明書 | ✅ ACME・API で自動更新可 | ❌ 販売なし | ❌ 販売なし |
| OV 証明書 | ✅ ACME・API で自動更新可 | ❌ 手動のみ | ❌ 手動のみ |
| EV 証明書 | ✅ API で自動更新可 | ❌ 手動のみ | ❌ 手動のみ |
| API 提供 | ✅ あり | ❌ なし | ❌ なし |
| WebTrust 監査 | ✅ 合格 | ✅ 合格 | ✅ 合格 |
| 証明書価格(DV〜EV) | 1,100 円〜 | 60,500 円〜 | 56,000 円〜 |
| 保証額 | DV $50,000 OV $50,000 EV $1,750,000 |
なし | なし |
⚡ FujiSSL の強み
FujiSSL は IETF が定める国際標準プロトコル ACME(RFC 8555)に準拠し、SSL/TLS 証明書の発行・更新・管理をすべて自動化できます。これにより、更新忘れによるセキュリティリスクを回避し、効率的で信頼性の高い運用が可能になります。
主な特徴
| 項目 | 内容 |
|---|---|
| 全認証レベル対応 | DV・OV・EV すべて自動更新に対応(EV は API で更新可能) |
| 低価格 | WebTrust 監査合格の証明書が 1,100 円から |
| 高い保証額 | $50,000〜の保証付きで高信頼性 |
| API 連携 | 外部ツール連携・大規模システムとも統合可能 |
| スモールスタート | 1 枚から導入可能 |
| OV ACME 対応 | 業界稀少の OV 自動更新実装 |
🛠 FujiSSL の自動更新サービス
FujiSSL では、DV および OV 証明書が ACME プロトコルに対応しています。さらに FujiSSL API を利用することで、DV・OV・EV 証明書すべての自動更新が可能になります。
導入方式
| 方式 | 対応証明書 | こんな方に |
|---|---|---|
| ACME | DV・OV | 1 枚から手軽に導入したい方 標準プロトコルで管理したい方 |
| FujiSSL API | DV・OV・EV | ホスティング事業者様 大企業・大規模システムでの利用 EV 証明書も自動化したい方 |
サンプルプログラムの提供にも対応していますので、開発工数を最小限に抑えた導入が可能です。