SSL証明書の有効期限が切れると何が起きるのか?
SSLサーバー証明書(以下、SSL証明書)は有効期限が必ず設定されており、現在世の中で利用されているものは最長で2年以内に設定されています。しかし、2020年9月よりあとに発行された有効期限が398日以上のSSL証明書は多くのブラウザで利用できないため、現在購入できるSSL証明書は最長1年(397日=約13ヶ月)となっています。
SSL証明書の有効期限が切れた場合に何が起きるのか?と言うと、ウェブサイトで利用している場合は単純にサイトが閲覧できなくなってしまいます。一般的にサーバーの設定ミスなどでエラーが出る場合は、サーバーへアクセスして然るべく設定されたエラー画面を表示しますが、有効期限切れの場合は「安全ではありません」や「プライバシーが保護されません」などのエラー画面が表示されます。これはブラウザ側がSSL証明書の有効期限切れを認識してアクセスをブロックし、エラー画面を表示しています。
このため、サイト訪問者に「SSL証明書の期限が切れたため、現在再取得を行っております。今しばらくお待ち下さい」などのエラーメッセージを出すこと・伝えることが難しくなります。※エラーの回避方法はのちほどご紹介します。
つまり、SSL証明書の有効期限が切れてしまうとサイトへ接続することができなくなってしまうのです。
有効期限切れはなぜ起きるのか?その対策は?
さくらインターネットではお客様からSSL証明書を預かり、サーバー設定を代行する場合もあります。その際、「有効期限が切れたから早く更新して!」と依頼を受けることがありますが、期限切れの原因として「担当者が変わった」や「忘れていた」、「発行に時間が掛かると思わなかった」といった理由が大半を占めています。
レンタルサーバー契約のようにクレジットカードさえ登録しておけば自動的に更新してくれるサービスとは異なり、毎回自分で設定する必要があるうえに、その有効期限が年単位と長期に渡っているため、その間に担当が変わってしまったり存在自体が忘れ去られてしまったりと原因は様々です。
では、SSL証明書の有効期限を切らさないようにするためにやるべきことをご紹介します。
Tipsその1 スケジューラーなどに登録にする
シンプルで確実なのが、サイボウズなどの社内グループウェアに有効期限を登録しておくことです。もちろん、ギリギリに登録せずに1ヶ月前に登録し、早めに更新を行うようにしましょう。SSL証明書は1年という単位で売っていますが、更新の場合は更新前のSSL証明書の有効期限を引き継ぐことができます。つまり、1ヶ月(約30日)前に更新しても、その分だけ損をするということはありません。30日を切ったらすぐに更新を始めるのが賢い運用です。
しかし、2020年9月以降多くのSSL証明書が最大397日となり、更新時のメリットが30日程度となってしまいました。また、新規購入時でも更新時と同様に397日の有効期限で発行できる認証局も増えてきており「更新」自体を行うよりは、30日以上前に「新規」で発行してしまう方が作業時間的にも余裕が持てるようになっています。外注作業などの都合上30日以上前に作業着手したい場合は、更新せずに新規取得することも検討しましょう。
なお、スケジューラーなどに登録する場合、自分の予定だけに登録しておくと部署異動の際などに引き継ぎ忘れることがあります。必ずグループや共有の予定表に登録しておきましょう。
Tipsその2 メールをきちんと見る
こちらもシンプルな方法ですが、多くのSSL証明書販売サイトでは、有効期限が切れる前にお知らせメールを何度か送ってくれます。前述の通り30日以内であればいつでも更新できますので、30日前を過ぎた時点で更新作業を始めましょう。さくらのSSLでは45日前と30日前、15日前に更新案内メールを送信しています。45日前は事前お知らせとなりますので、30日前から更新が可能になります。
Tipsその3 証明書発行までの所要時間を把握しておく
有効期限が切れてしまったケースでは、有効期限切れ→サイトが見られない!→利用中の証明書がEV証明書だった!→発行まで2週間掛かることが判明した!という、ちょっとした騒ぎになりそうな状況に陥る場合もあります。DV証明書に比べてOV・EV証明書は発行までに時間が掛かりますので、これらのSSL証明書を利用している担当者の方は余裕を持って申請作業を行いましょう。CSRの作成でミスをするなど、予想外に発行まで時間が掛かってしまうこともあります。
また、EV証明書の発行が間に合わない場合、即日発行が可能なDV証明書で暫定対応を行い、EV証明書の発行後に差し替えるといった対応も可能です。
Tipsその4 自動更新に対応したSSL証明書を利用する
現在、自動更新機能を提供しているSSL証明書の中ではLet’s Encryptが最も普及しています。さくらのレンタルサーバのように無料SSL機能を提供しているレンタルサーバーは、更新も自動的に行う仕組みになっているため、実際のところ有効期限を気にする必要がありません。しかし、更新時のエラー発生などで利用ユーザーにメールで連絡を行い、何かしらの操作が必要な場合も出てきます。レンタルサーバー会社からのメールは見落とさないようにしましょう。
Tipsその5 監視システムを導入する
監視システムというと大げさに聞こえるかもしれませんが、さくらのクラウドでは「シンプル監視」という機能を提供しています。ドメインを指定して設定すると、有効期限の残り日数が指定日数を下回った場合にメールやSlackでお知らせしてくれる機能があります。以下のようにSlackへ通知することが可能です。
「シンプル監視」のSSL証明書有効期限アラート機能を利用するには月額22円、または1日1円の料金がかかります。さくらのクラウドを利用していない場合は、さくらのクラウドのアカウント作成(無料)が必要です。
- ※ 初出時にさくらインターネットのサーバサービスを利用していれば無料と記載しておりましたが、正しくはIPv4アドレスを監視する場合が無料でした。SSL証明書のアラート機能は有料となります。お詫びして訂正させて頂きます。
他にもサーバーのステータスコードやメールサーバーの監視などにも対応しており、シンプルだけど高機能な監視サービスとなっていますので、ぜひこの機会に利用を検討してみてはいかがでしょうか?Zabbixなどの専用ソリューションとは違い、さくらのレンタルサーバを利用している初心者の方にも比較的使いやすくなっています。
有効期限が切れてしまった!どうすればいい?!
SSL証明書の有効期限が切れた状態でサイトにアクセスすると、前述のとおりブラウザ側でアクセスがブロックされてサイトが見られなくなるため、急いでSSL証明書を差し替えなければなりません。さくらのSSLでは即日発行が可能なJPRSドメイン認証型を販売しています。認証エラーなどの問題が発生しなければ最短1時間程度で発行することができます。
「その1時間も惜しい!とにかく大至急サイトを表示したい!」という場合、URLをhttpに戻すという対応を思いつく方もいるのではないでしょうか。つまり、リダイレクトの方向をhttps→httpに変更することになるのですが、これはリスクが高いので一概におすすめできません。サイトに個人情報などが含まれている場合、暗号化が解除されて平文通信になってしまい、通信を盗聴・改ざんすることが可能になってしまいます。また、サイトのコンテンツにhttpsがハードコーディングされている場合、サイトのデザインが崩れたり一部だけ見られなくなったりとさらに事態を悪化させる可能性もあります。
さくらのレンタルサーバを利用している場合は、一時的に無料SSL証明書を利用することが可能です。コントロールパネルから有効期限が切れてしまったSSL証明書の設定を削除して、無料SSL機能を有効にすることでSSL証明書の発行と同時にサイトが復活します。特にOV・EV証明書が発行されるまでの繋ぎにはぴったりの機能です。発行までの時間も短いため、数十分程度でSSL通信が復旧します。
まとめ
「期限切れなんて起きるわけがない!ちゃんと覚えてますよ!」という方が大半かと思いますが、実際のところ「有効期限が切れたので早く対応してください!」といった要望は非常に多くあります。最長1年のSSL証明書が発行できるため、1年後には担当者が変わっていたり、更新方法を忘れてしまったり、そもそも会社にいなかったりと何が起きるかわかりません。サイトが見られなくなることで不利益が生じるだけでなく、多くのサイト利用者にも迷惑を掛けることになります。有効期限切れを防いで機会損失を減らしましょう!