公益認証局である Let’s Encrypt は、新しい「ジェネレーション Y」証明書階層の立ち上げを発表し、インターネット暗号化通信のセキュリティをさらに強化するために、今後数年間で段階的にデフォルトの証明書の有効期間を 45 日に短縮する予定です。この一連の調整には、TLS クライアント認証の廃止と、デフォルトの ACME 構成の新しい証明書階層への切り替えも含まれます。
Let’s Encrypt は、新しく有効になった第 Y 世代のアーキテクチャは 2 つの新しいルート証明書 (ルート CA) と 6 つの新しい中間証明書 (中間 CA) で構成されていると述べました。これらの新しい証明書は、既存の X 世代のルート証明書 X1 および X2 によって相互署名されているため、新しいアーキテクチャが信頼され、現在 X1/X2 を信頼している環境でも使用できることが保証されます。同関係者は、TLS クライアント認証が 2026 年 2 月から終了することも繰り返し述べました。2026 年 5 月 13 日から、デフォルトのクラシック ACME 構成はジェネレーション Y に基づくレベルに切り替わり、クライアント認証機能は含まれなくなります。まだ移行が必要なユーザーのために、Let’s Encrypt は 2026 年 5 月まで既存の第 X 世代のルート証明書を引き続き使用できる tlsclient 構成を提供します。
証明書の有効期間に関しては、Let’s Encrypt は CA/ブラウザ フォーラムのベースライン要件に従って、証明書のライフ サイクルを徐々に短縮します。 2026 年からは自主的な「テスト」フェーズに入り、早期採用者とテスト ユーザーは tlsserver 構成を通じて 45 日間の有効期間を持つ証明書を選択できます。 2027 年には、デフォルトの証明書の有効期間が 64 日に短縮され、2028 年にはデフォルトの有効期間がさらに 45 日に短縮され、有効期間の短い証明書が標準になる予定です。当局者らは、証明書のライフサイクルを短縮することで、攻撃時間枠を狭め、暗号アルゴリズムの更新をより迅速に促進し、誤発行などの問題による長期的な影響を軽減できると指摘した。
Let’s Encrypt はコミュニティの発表の中で、tlsserver および有効期間の短い構成を使用しているユーザーは、今週からジェネレーション Y レベルに基づいて発行された証明書を受け取ることになると述べました。この切り替えは、オプションの短いライフサイクル証明書が完全に「一般提供」段階に入り、証明書に IP アドレスを直接含めるサポートが追加され、一部の使用シナリオに対してより柔軟な展開方法が提供されることも意味します。 Let’s Encrypt に依存している Web サイト運営者やサービス プロバイダーは、セキュリティを強化しながらサービスの安定性に影響を与えないように、今後数年間でより頻繁な自動更新プロセスに徐々に適応する必要があります。