SSLサーバ証明書の有効期間短縮に向けた対策について

経営企画室　OSS企画チーム 小倉 崇志

今回は、SSLサーバ証明書の有効期間短縮に関する動向と将来的な対策について、デージーネットで調査を行った部分を含め解説します。

SSLサーバ証明書とは

SSLサーバ証明書は、インターネット上で安全な通信を行えるようにするための「身分証明書」のようなものです。Webサイトと利用者の間でやりとりされる情報（ログインID/パスワード、クレジットカード番号など）を暗号化し、第三者に盗み見られたり改ざんされないようにする役割を持っています。

SSLサーバ証明書の今後の動向

SSLサーバ証明書には、信頼性の低下や不正利用といったリスクを軽減するため、有効期間が存在します。現在は398日となっていますが、2025年4月にCA/Browser Forum（認証局とブラウザベンダーによる業界団体）が、TLS/SSLサーバ証明書の最大有効期間を段階的に短縮することを決定しました。今後は段階を経て徐々に短くなり、2029年には47日になります。また、併せてドメイン審査情報（Domain Control Validation、以下DCV）の再利用期間も短縮されることになります。現在は398日ですが、2029年には10日まで短縮される予定となっています。

有効期間の短縮による影響

実際に有効期間が短縮された場合、自社の業務・サービスに次のような影響があります。

証明書更新業務の負荷上昇

現在の有効期間上、サーバ証明書の更新は1年に1回行えば問題ありません。しかし、今回の有効期間短縮によって、最終的には1.5か月に1回と現在の8倍の頻度で、行わなければならなくなります。手動で更新作業をしている場合や外部の業者に作業を委託している場合には、かなりの負担増となります。

自動更新対応の必須化

証明書の更新作業の頻度が年々増えること、そして2026年3月15日に証明書の有効期限が200日に短縮されるため、2026年度中くらいまでには自動化される仕組みを導入することが望ましいと考えられます。対策として、ACME（Automated Certificate Management Environment）プロトコルへの対応が挙げられます。 ACMEでは、CSRの作成・ドメイン認証処理（「DNS-01 チャレンジ」または「HTTP-01 チャレンジ」）・発行された証明書の配置までの流れを自動化することができます。今後主流になると考えられるため、ACMEに対応していない認証局を利用している場合は乗り換えを検討する必要があります。また、証明書の更新時はWebサーバやアプリケーションの再起動または再読み込みが必要なケースが多いです。短い期間で証明書更新とサービス再起動または再読み込みを同時に行わないといけないため、実施するタイミングの検討も必要です。

Webサービス以外への影響

Webサービス以外にも、メールなどSSL/TLS通信を行う多くのサービスに影響します。また、インターネットから通信ができないサービスでは、比較的実装の難しいACMEの「DNS-01 チャレンジ」方式や、その他の方法を検討する必要があります。

今後の対策について

今後SSLサーバ証明書を利用していくにあたっては、ACMEプロトコルへの対応（具体的にはACMEクライアントを利用した自動化や、ACME対応の認証局のサービスを利用すること）が必要です。次のようなOSSのACMEクライアントを使うことによって、自動化が可能です。

• Certbot

  Certbotは、WebサーバをHTTPS化するためのOSS（オープンソースソフトウェア）です。無料の認証局「Let’s Encrypt」と連携し、SSL/TLS証明書の取得や更新を自動化することができます。

• acme.sh

  acme.shは、Let’s Encryptなどの認証局に対応したOSS（オープンソースソフトウェア）です。ACMEプロトコルを利用して、SSL/TLS証明書の取得や更新を自動化できます。シェルスクリプトで動作し、軽量かつ柔軟に証明書管理を行える点が特徴です。

また、ACME対応の認証局のサービスとしては、以下のものが挙げられます。

• GMO社のGMOグローバルサインが提供する「Atlas」

  Atlasは、GMOグローバルサインが提供する、SSL/TLS証明書の取得・更新を自動化するためのOSS（オープンソースソフトウェア）です。ACMEプロトコルに対応しており、証明書管理の運用負荷を軽減し、Webサーバやシステムの安全なHTTPS運用を支援します。

• サイバートラスト社が提供する「SureHandsOn ACME」

  SureHandsOn ACMEは、サイバートラスト社が提供する、SSL/TLS証明書の取得・更新を自動化するためのACME対応ツール／サービスです。証明書運用を自動化することで、更新忘れによるトラブルを防ぎ、安全なシステム運用を実現することができます。

デージーネットでは

デージーネットでは、サーバの新規構築またはリプレースにおいて、主にCertbotを用いたSSLサーバ証明書の自動更新を含めた、証明書更新におけるシステム管理者の負担を軽減する提案を行っていきます。デージーネットで独自にSSLサーバについて調査し、まとめたものを無料で公開しています。詳しくは、SSLサーバー証明書の有効期間短縮に向けた対策についてをご覧ください。また、上記に関するご相談や、実際の構築費用を知りたいなどございましたら、是非お気軽にお問合せください。

関連ページ

SSLサーバ証明書の有効期間短縮に対応するには？自動更新可能なツール・サービスまとめ

デージーネットからのお知らせ

OSSで構築する対応管理プラットフォームZammad・CuMAS紹介セミナーを開催します。

Zammad・CuMASとは、様々な問い合わせを一覧で管理できるオープンソースソフトウェアです。今回は、社内外どんな問い合わせにも対応できる、OSSの対応管理プラットフォームZammad・CuMASのそれぞれの特徴や活用方法を詳しくご紹介します。

• 日程：2026年1月22日(木)
• 時間：15：00〜16：00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=116

無料資料ダウンロードに【OCSInventoryNG調査報告書】を掲載しました。

OCSInventoryNGとは、IT資産管理を効率化するオープンソースソフトウェアです。本書は、OCSInventoryNGについて調査した内容をまとめたものです。

https://www.designet.co.jp/download/#management

「株式会社デージーネットがIT展示会の来場者アンケート結果を公表 ～企業のIT基盤はオンプレ中心40.2％、ハイブリッド35.6％～」に関するプレスリリースが、J-CASTニュースに取り上げられました！

https://www.designet.co.jp/info/?id=875

「株式会社デージーネットがIT展示会の来場者アンケート結果を公表 ～企業のIT基盤はオンプレ中心40.2％、ハイブリッド35.6％～」に関するプレスリリースが、マイナビニュースに取り上げられました！

https://www.designet.co.jp/info/?id=874

メールサーバの安全性を無料でチェックできるサイトを公開しています。

メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。

メールサーバセキュリティ診断MSchecker

デージーネットマガジン2026年1月号記事一覧

• システム導入事例