なぜ有効期間は短くなるのか?
現在、SSLサーバー証明書(以下、SSL証明書)の有効期間は397日となっており、今後10ヶ月、6ヶ月、3ヶ月と段階的な短縮が検討されています。短縮の経緯や理由については当コラムの『何度も短縮し過ぎ?!SSL証明書の有効期間がどんどん短くなる理由とは?』でご紹介していますので、ぜひご覧ください。
有効期間90日時代の問題点
実際、有効期間が90日になった場合に何が起こるかを考えてみましょう。最も注意しなければならないのは、更新をし忘れて有効期限を切らすこと、つまりSSL証明書を失効してしまうことです。失効すると、どのWebブラウザでもサイトの閲覧ができなくなってしまうため、有効期限切れ=誰もサイトが見られない状態になってしまいます。大きな機会損失に繋がってしまうので、更新忘れを如何に防ぐかを考えなければいけません。
もし60日間隔で更新する場合、1年間で約6回の更新作業が必要です。頻度が上がればそれだけ忘れてしまったり、作業ミスをしてしまったりする可能性が高くなります。また、現在は1年間隔で更新できるため、企業などでは購入する度に社内で稟議を上げて承認を得ている方も多いと思います。しかしながら、有効期間が90日になり60日間隔で更新する場合、年に6回も稟議や承認取得が必要になるかもしれません。SSL証明書の設定を外注されている方も多く存在するため、こうした手続きの面でも手間が増えてしまうことが予想されます。
既に一部の認証局では、SSL証明書の有効期間と契約期間を分けて購入できる商品を販売しています。例えば、契約期間5年を選択した場合、SSL証明書の有効期間は1年のままですが、5年分(初回+更新4回分)を先に支払うことで割安に購入することができます。有効期間が90日になる場合、こうした仕組みは特に企業ユーザーにとって大きなメリットになりそうです。
いずれにせよ、今より手間が増えてしまい、事故のリスクも増えるのは確実と言えるでしょう。
販売方法の変化
現在、多くのSSL証明書販売サービスではお客様からCSRを受け取ってドメイン/組織認証後、SSL証明書のファイルを提供する形を取っています。高価で販売数の少ないSSL証明書の場合、受付から発行までが自動化されていない場合もあり、手作業で認証局への申請や発行を行っています。有効期間90日時代には、こうした販売方法は購入する側も販売する側も手間が掛かるため、自動発行/更新の形へ移行していくことが考えられます。
例えば、さくらのSSLでは有効期間の設定されたAPIキーだけをお客様へ販売し、お客様がその「APIキー」と、認証局が開発した「サーバーへSSL証明書をインストールするアプリケーション」を使って、発行申請を送ることで一定期間自動発行/更新ができるといったサービスが出てくるかもしれません。
無料SSL機能の自動更新について
さくらのレンタルサーバでは、Let’s Encryptを利用した無料SSL機能を提供しています。Let's EncryptのSSL証明書は有効期間が90日で発行されますが、当社では発行エラーが発生する可能性などを考慮して60日間隔で更新を行っています。一度設定すれば、お客様は更新作業などを特に気にする必要はありませんが、もし発行に失敗した場合にはお客様へメールでの通知を行っています。SSL証明書の発行と更新は、専用に開発した独自のシステムで稼働しており、Let's EncryptのAPIと連携して自動更新を行っています。
大量のドメインを扱う大規模システムなどでは、このような自動発行/更新のインフラ整備が必要になると思われます。実際、Let's EncryptのAPIはエラー発生も多く、リトライする必要がありますが、リトライしすぎると別の制限に抵触する場合もあり、リトライのロジックにもある程度のノウハウが必要になっています。
クラウドサービスのSSL証明書管理機能について
AWSではCertificate Managerという機能があり、自分の持っているドメインをCloudFront(CDN)やロードバランサに設定することでSSL証明書を自動で更新することができます。さくらのクラウドでも、エンハンスドロードバランサにおいてLet's Encryptを利用した無料SSLが利用できます。CDNやロードバランサのようにドメインを設定するサービスであればドメイン認証が自動化できるため、SSL証明書のインストールや更新作業を自動で行うことができます。
つまり、ロードバランサやCDNを利用することで負荷分散だけでなく、SSL証明書の自動更新機能も持たせることができるのです。自社でSSL証明書の自動更新システムの開発等が難しい場合、このようなサービスを利用するのも一つの手段です。
ただし、CDNを利用する場合はインターネットを経由してCDNからオリジンサーバーへアクセスするため、その区間の暗号化通信が行われない点をケアする必要があります。
自動更新を阻むメール認証という仕組み
SSL証明書の発行にはドメインの所有権を確認する必要があり、ファイル認証やDNS認証、メール認証などの認証方法がいくつか存在します。ファイル認証では、認証局から認証コードが記載されたファイルを受け取り、自身でWebサーバーへ設置する必要があります。
- ※さくらのレンタルサーバの無料SSL機能では、Let’s Encryptから取得した認証ファイルを自動で設置しています。
DNS認証では、認証コードをドメインのCNAMEに設定したり、TXTレコードを利用したりしますが、ドメイン配下にファイルを設置したりドメイン情報を編集したりできる=ドメイン所有権がある、ということに由来します。DNS認証についても、操作用のAPIがあるDNSであれば、自動化することが可能です。
このようにファイル認証とDNS認証を自動化するのは比較的容易ですが、メール認証では「受信したメールのリンク先にアクセスし、承認ボタンをクリックする」という動作が必要になるため、どうしても手動での対応が必要になります。Webサーバーを持っていない場合は便利な認証方法ですが、自動更新が必須の時代には合わない認証方法かもしれません。
Web制作会社などへの影響
レンタルサーバーを利用している場合、無料SSL機能をONにしておけば運用は楽ですが、クライアントとの接点が無くなってしまうのも非常にもったいないものです。有料のSSL証明書を購入して「2ヶ月毎に更新設定を行います」という契約内容にするのも良いかもしれません。特にWordPressを放置しているとセキュリティ上の問題点もあるため、セキュアなWebサイトを維持するための必要経費としてWordPressやプラグインの更新などと一緒にSSL証明書を更新する、という流れを作ってしまうのも1つのビジネスプランです。
なお、無料SSL機能も万能ではなく、エラーを契機に更新が止まってしまう可能性もあるため、通知メールやお知らせには注意しておく必要があります。Webサイト運営を受託されている方などは、くれぐれも更新忘れには注意しましょう。
こちらの記事もあわせておすすめ!
有効期限短縮の経緯については 『何度も短縮し過ぎ?!SSL証明書の有効期間がどんどん短くなる理由とは?』 で解説しています。また、397日へ短縮される原因となったApple Safari独自の対応については『2020年9月よりAppleがSSL証明書の有効期間を13か月に短縮!詳細や対策とは?』をご覧ください。