Appleの悲願がかなう TLS証明書の有効期間が最短47日に短縮へ

セキュリティニュースメディアの「SecurityOnline」は2025年4月14日（現地時間）、Appleが提案していたSSL/TLS証明書の有効期間短縮案が正式に可決されたことを報じた。これによって公開TLS証明書の最大有効期間が段階的に短縮され、最終的に47日となる。 Apple、Google、Mozillaが支持 Webの安全性を向上させる証明書の短命化 Appleは以前から、証明書の有効期間を現行の最大398日から45日へと短縮する案「SC-081v3」をCA/Browser Forum（CABF）に提出していた。提案の背景には、万が一証明書が漏えいしても短期間で無効化されることによって攻撃者が悪用できる期間を短縮し、セキュリティリスクを軽減する狙いがある。 公開TLS証明書の有効期限に関する議論は以前から実施されており、Googleは90日間に短縮することを提案していた。さらに

[IGA-OS]

“証明書の更新頻度が高まることから、自動更新ツールの活用がますます重要になる”今後は必須ツールとなるな。手動は無理だ

[spark7]

最長で47日になるってこと？言い出しっぺのAppleはさぞ短い証明書使ってるかと思ったら普通に半年だった。47日は最大1ヶ月(31日)+半月(15日)+1日、らしい。https://groups.google.com/a/groups.cabforum.org/g/servercert-wg/c/3q07n2tISkI/m/QvEQXcbLAgAJ

[queeuq]

自動更新が必須になるとその仕組みが狙われそうで適度に分散してるぐらいのほうがましじゃねーかなーとか

[odakaho]

DVは自動でいいとして、OVとEVは毎月会社に電話が掛かってくるんだろうか。んで出れなければ失効で。

[knjname]

最終的にLEがサポート開始する6日スパン証明書が標準になるぐらいは見据えたほうがいいよ　根本は証明書の期限が長いせいで起きる様々な問題なので今後も短くする方向にしかならないよ　個人サーバならCaddyオススメ

[ryokdy]

31 (最大日数) + 15 (更新マージン) + 1 (予備) https://community.letsencrypt.org/t/new-lifespan-is-going-to-be-47-days-instead-of-90/236352/13

[tzk2106]

自動更新ツールのおすすめってありますか？

[hatomugicha]

会員部分は読まないけど短くする利点が何なのかというか何を狙っているか次第かな

[mysql8]

<ｴｯﾎｴｯﾎ>自動更新ツールはACMEって伝えなきゃ</ｴｯﾎｴｯﾎ><ｴｯﾎｴｯﾎ>みんなに伝えなきゃ</ｴｯﾎｴｯﾎ>

[k-holy]

自動化には acme.sh おすすめです。https://github.com/acmesh-official/acme.sh

[testedquality]

自動化せんとむりだなあ

[secseek]

自動化が必須ですね

[csal8040]

公開TLS証明書の最大有効期間が段階的に短縮され、最終的に47日となる

[masalib]

めんどくさ～確認する必要がある。

[nikoli]

Webブラウザベンダは技術原理主義がすぎる。世の中に色々な実装があることを軽視して、俺たちがルールを変えて自動化を促進させると言わんばかりの不遜さ。認証局も余計な荒波を立てたくないから反対できないのだ。

[quwachy]

自動更新するなら有効期限24時間とかにして毎日更新すればよくね

[dosnaka]

certbot互換+証明書代金支払い管理の部分の自動TOOLが必要か、約３年あるがあっという間だろうな

[kanikanidokokani]

ov, evとかいらんやろ…

[shoechang]

47は素数だからじゃないのか……

[matchy2]

もう全部Let's Encryptでよくない？

[tal9]

ふむ｜証明書の更新頻度が高まることから、自動更新ツールの活用がますます重要になる

[tis8347]

あら短い。社内で完結してるやつは影響あるんだろうか、Appleでも2年でOKの現状から縮むと色々いわなあかん

[wushi]

自動更新システムの負荷や不具合でwebサイトの集団障害が起こる未来しか見えないんだけど。無料証明書が発行できるようになっている時点で有効期間の短縮が何かを改善すると思えないんだよな……

[dowhile]

自動化できないやつは◯ねというGAFAMの鉄槌

[leiqunni]

楽天のドメイン名とサーバのIPアドレスを使ってECサイトを運営できるのは楽天だけなのだろうか？

[nt46]

なんでブラウザ屋の商売につきあわなあかんねん。シボレス認証とか自動更新できるんか？

[nicht-sein]

さすがに自動管理にしないと厳しいなぁ……逆に自動更新しているところなら全く問題ないんだろうけど / Appleがこれで証明書有効期間切れアプリ更新できなくなったとかトラブル発生したら笑うｗ

[morimoriplanet]

そこまでするならもうapache側に証明書更新機能内蔵しろ

[hiroomi]

漏えい時のリスク低減

[GEROMAX]

正直めんどくせぇ。

[oldriver]

よく知らないので、CRLやOCSPがうまく機能してないのだろうかとか、証明書ピンニングの実態とか、IoT機器の考慮事項あるかとか、DVはいいとしてOV・EVどんな感じとかいろいろ気にはなる。

[daishi_n]

これが実現するとメール検証のAWS Certificate Manager証明書が死滅する。WHOIS仕様も消えたし、自動更新でいいじゃん

[s_rsak]

サイト側の事務作業や経費がとんでもなく増えない？

[paulownia]

証明書は購入するものではなくなりそう

[mk173]

人の噂の75日より短く無効化されるのか

[bopperjp]

タイトルおかしくね？