> > CA/Browser Forum、証明書の有効期間短縮を可決:その影響は?

RSSフィード

CA/Browser Forum、証明書の有効期間短縮を可決:その影響は?

233268232.jpgCA/Browser Forum(CAB Forum)は世界の主要 CA(認証局)およびブラウザーベンダーで構成されいる団体です。CAB Forum では、全世界におけるデジタル証明書の運用について、ルールやガイドラインに関するコンセンサスを得ることを目指して会合や協議を行っています。よく議論される議題のひとつは、どうやって証明書の有効期間を短縮するかです。短縮の目的は、セキュリティの強化を推進するとともに、証明書の誤発行による潜在的な損害を最小限にとどめることです。最近の SHA-1 の廃止は、この好例です。有効期間を短縮すれば、SHA-1 からの移行に必要な時間が短くなり、エコシステム全体が改善されます。

この議題が CAB Forum における最近の投票につながり、2018 年 3 月 1 日以降は発行できる証明書の最長有効期間が 825 日へ短縮されることになりました。同投票には、意図しない影響もでました。ドメイン認証(DV:Domain Validated)証明書と企業認証(OV:Organization Validated)証明書の所有者情報はもともと最長 39 か月間、発行時の審査で再利用が可能でしたが、別の投票で修正が可決されない限り、2017 年 4 月 22 日以降は再利用期間が 825 日に短縮されます。

825 日よりも古いウェブサイト所有者情報の再審査

この投票内容の適用日以降、CA は自社のプロセスを修正し、申請者の実在性等を審査した情報が 825 日以内のものである場合にのみ、証明書の発行を許可するようにしなければなりません。このプロセスを簡単に進められるよう、DigiCert は影響を受けるお客様に対し、すみやかに情報の再審査が行われるよう支援を提供いたします。これにより、DigiCert のマネージド PKI サービスをご利用のお客様は、引き続き証明書を発行できます。

有効期間の短縮に今すぐ準備する

企業の皆様には、有効期間の短縮に備えることをお勧めします。2018 年 3 月 1 日以降、世の中の DV 証明書および OV 証明書の有効期間は最大 27 か月(825日)となりますので、現在の証明書を同日以降に更新する際は注意が必要です。CAB Forum メンバーの一部は、今後数年の間に有効期間を 13 か月まで短縮したい考えを示しています。有効期限が 13 か月、あるいはもっと短期間になった場合、その変更によりどのような問題が生じる可能性があるのか、皆様のご意見を DigiCert および CAB Forumに共有いただきたいと思います。

このような変更は、DigiCert のお客様を含め、企業の多くに追加の作業を強いるものだと理解しています。その作業を簡単に進められるよう、DigiCert のサポートチームが皆様をお手伝いいたします。

セキュリティに関し、私たちはエコシステムにおける改善と、変更が組織に与える影響のバランスを常にとっています。今回の場合、セキュリティ面で高まる脅威に対抗するため、TLS 環境全体に変更の適用が行き渡るのに要する期間を短縮できるよう、DigiCert は作業のお手伝いを行っています。この変更は、DV 証明書および OV 証明書の有効期限を EV 証明書にそろえるものと言えます。現在、EV 証明書の有効期限は 2 年しかありません。

弊社は最高のサポートをお客様に提供し、皆様の成功につながる PKI 自動化の推進をお手伝いできるよう、努めて参ります。皆様のフィードバックをお待ちしております。

 

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: CAB/Forum Votes to Shorten Certificate Lifetime Validity Periods: How It Impacts You - [2017 年 4 月 16 日投稿]