Let’s Encrypt は 2028 年までに証明書の有効期間を 45 日に短縮する計画

Let’s Encrypt は、発行する公的に信頼されている TLS 証明書の有効期間を今後数年間で段階的に短縮し、現在の 90 日から 2028 年の完了を目標に 45 日にすると発表しました。この調整は、CA/ブラウザ フォーラムによって確立されたベースライン要件に基づく業界全体の変更であり、すべての信頼できる認証局は同様の慣行を採用し、証明書のライフ サイクルを短縮し、キーなどのリスクの範囲を制限することで、インターネット全体のセキュリティを向上させることになります。漏洩を防止し、失効メカニズムの効率を向上させます。

Let’s Encrypt では、証明書の有効期間そのものに加えて、ドメイン名制御の検証結果の再利用期間（認可再利用期間）、つまりドメイン名制御の検証が完了した後、その検証に基づいて証明書の発行を継続できるウィンドウ期間も大幅に短縮されます。この長さは現在 30 日ですが、2028 年までにわずか 7 時間に短縮される予定であるため、長期にわたる承認の悪用のリスクを軽減するためにドメイン制御をより頻繁に再検証する必要があります。

既存のユーザーへの影響を最小限に抑えるために、Let’s Encrypt はこれらの変更を段階的に実装し、ユーザーが ACME プロファイルを通じてクライアント側で切り替えのタイミングを制御できるようにします。公式スケジュールによると、2026 年 5 月 13 日以降、オプションの tlsserver プロファイルが最初に 45 日間の証明書を発行します。 2027 年 2 月 10 日に、デフォルトのクラシック プロファイルが 64 日間の証明書を発行するように変更され、認証の再利用期間が 10 日に短縮されます。 2028 年 2 月 16 日までに、クラシック プロファイルはさらに 45 日間の証明書と 7 日間の証明書に調整される予定です。時間ライセンスの再利用期間。これらの日付は新しく発行された証明書にのみ影響し、ユーザーはその後の自動更新中に有効期間が徐々に短縮されます。

すでに証明書の取得と更新の自動化された手段に依存しているほとんどのユーザーにとって、当局は一般的に大幅な変更は必要ないと考えているが、既存の自動化されたプロセスがより短い有効期間に対応できるかどうかを確認することを推奨している。 Let’s Encrypt では、クライアントが適切な更新時間を学習できるように、ACME クライアントが ACME Renewal Information (ARI) メカニズムをサポートおよび有効にすることをお勧めします。クライアントが現在 ARI をサポートしていない場合は、更新スケジュールの頻度が十分に高いことを確認する必要があります。たとえば、「固定 60 日更新」戦略の使用を避け、代わりに証明書ライフ サイクルの約 3 分の 2 で更新タスクをトリガーすることを選択します。証明書のライフサイクルがさらに短くなるにつれて手動更新の頻度が上がり、エラーが発生しやすくなるため、手動更新は明示的に推奨されません。

同当局者はまた、運営・保守チームが適切な監視・警告メカニズムを確保する必要があると強調した。証明書が期待どおりに更新されない場合、システムはサービスの中断やセキュリティ リスクを回避するために、すぐにリマインダーを発行できます。 Let’s Encrypt は、証明書のライフ サイクルの短縮によってもたらされる運用とメンテナンスの要件に適応するために、ユーザーが監視サービスの適切な組み合わせを選択できるように、Web サイトにさまざまなサードパーティおよび自社構築の監視ソリューションをリストしています。

証明書の有効期間と認証の再利用期間が短縮されると、ユーザーはより頻繁にドメイン名制御を証明する必要があることを考慮して、Let’s Encrypt は自動化の難しさを軽減するための新しい検証メカニズムも推進しています。 ACME プロトコルの現在の HTTP-01、TLS-ALPN-01、および DNS-01 の課題では、通常、ACME クライアントが各認証時に Web サーバーまたは DNS インフラストラクチャに対するリアルタイムの操作権限を持っている必要があり、セキュリティの分離と権限の最小化の点で課題が生じています。この目的を達成するために、Let’s Encrypt は CA/Browser Forum および IETF と協力して DNS-PERSIST-01 を標準化しています。その主な利点は、ドメイン名の制御を証明するために使用される DNS TXT レコードを、その後の更新時に頻繁に変更する必要がないことです。

DNS-PERSIST-01 が利用可能になると、ユーザーは DNS レコードを一度設定すれば、DNS 構成を自動的に更新することなく長期的な自動更新を実現できるため、より多くの組織がインフラストラクチャへのアクセスを緩めることなく証明書の自動展開を完了できるようになります。同時に、このアプローチでは、「認証再利用期間」自体への依存も軽減されます。これは、ACME クライアントが構成の更新に繰り返し介入する必要がなく、長期間変更されない DNS レコードがドメイン名制御の検証をサポートし続けることができるためです。 Let’s Encrypt は、この新しいチャレンジ タイプが 2026 年にユーザーに提供されると予想しており、詳細と実装ガイドラインは開始が近くなったら発表すると述べています。

Let’s Encrypt は、技術的な変更についてタイムリーに通知する必要があるユーザーに対し、技術アップデートのメーリング リストに登録して、証明書の有効性の調整や検証メカニズムの変更などに関する最新の通知やリマインダーを受け取るよう呼び掛けています。ユーザーが具体的な質問がある場合は、公式コミュニティ フォーラムにアクセスしてコミュニケーションを取り、助けを求めることができます。 Let’s Encrypt とその親団体である Internet Security Research Group (ISRG) の広範なインターネット セキュリティとプライバシー プロジェクトの進捗状況を知りたい場合は、新しくリリースされた年次報告書を確認してください。