Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サーバ証明書、最長でも約13カ月 - 毎年更新が必須に

9月以降に発行される「SSL/TLSサーバ証明書」の最長有効期限が、実質的に約13カ月へと大幅に短縮される。すでに一部認証局も有効期限を2年間とする証明書の終売を決めており、利用者は注意が必要だ。

2018年3月以降、サーバ証明書の有効期限は最長825日(約27カ月)とするガイドラインがCA/Browser Forumによって定められているが、主要ブラウザベンダーにおいて信頼する期限を398日(約13カ月)へと短縮する動きが相次いでおり、既定路線となっている。フィッシング対策協議会なども業界の動向をアナウンスし、注意を促した。

アルゴリズムが危殆化するサイクルが短くなったことや、証明書発行に起因したインシデントの発生などを背景に、これまでも有効期限の短縮化についてはたびたび提案されている。2019年8月にもCAB ForumでGoogleより有効期限を1年に短縮するとの提案があったが、ブラウザベンダーが賛同を示す一方、導入組織における負担の大きさなどを理由とする認証局の反対多数で否決された。

議論では証明書の有効期限を短縮することにより、より信頼できる通信環境を確保できるといった肯定的な意見がある一方、更新頻度の増加にともなうメンテナンスコストやダウンタイムの増加、作業ミス、更新漏れ、自動化への不安といったサーバ運営者からの懸念の声も大きく、総合的に見てセキュリティの向上に結びつくか疑問の声なども挙がっていた。

(Security NEXT - 2020/07/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
特定日の戸籍証明書交付申請書が所在不明に - 枚方市
intel製プロセッサに複数脆弱性、アップデートをリリース - MSやVMwareも対応
富士通クラウドサービスへの攻撃 - 侵入の痕跡見つかる
追加調査で文書保存箱の紛失や誤廃棄が判明、あわせて5箱に - 静岡市
米政府、「CVE-2022-26925」を緊急対応リストから一時削除 - DCへの影響で
コロナの自宅療養証明書を異なる住所へ誤発送 - 静岡県
新型コロナ検査キットに脆弱性 - 検査結果が改ざん可能に
「Apache Tomcat」のアップデートが公開 - 「Spring4Shell」対策も
新型コロナ接種証明書アプリのヘルプデスクでメール誤送信