Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに：セキュリティニュースアラート

Let's Encryptは2028年までにSSL/TLS証明書の有効期間を90日から45日へ短縮する方針を発表した。業界標準に基づく変更で、認証再利用期間も縮小される。ユーザーは自動更新体制の再確認が求められる。

[後藤大地，ITmedia]

　Let's Encryptは2025年12月2日（現地時間、以下同）、発行するSSL/TLS証明書の有効期間を現在の90日から段階的に短縮し、2028年までに45日に変更する方針を明らかにした。これはLet's Encrypt単独の判断ではなく、CA/Browser Forum（CABF）が定めるベースライン要件に基づく業界全体の動きであり、公開信頼型の認証局が共通して対応する変更となる。

業界ルールに基づき段階的な短縮スケジュールを発表

　証明書の有効期間を短くする目的は、通信の安全性向上にある。万一の秘密鍵漏えいなどが発生した場合でも影響範囲を限定しやすくなり、失効処理の実効性が高まると説明されている。これに加え、ドメイン管理権限を確認した後に証明書発行を認める「認証再利用期間」も見直される。現在は30日間とされているが、2028年までに7時間に短縮される予定だ。

　導入は複数段階で実施され、設定はACMEプロファイルで制御できる。まず2026年5月13日、「tlsserver」ACMEプロファイルを45日間有効の証明書発行に切り替える。次いで2027年2月10日、デフォルトの「classic」ACMEプロファイルが64日有効の証明書に切り替わる。この証明書は10日間の認証再利用期間を持つ。2028年2月16日には、classicプロファイルが45日有効証明書と7時間の認証再利用期間に更新される。いずれも新規発行分から適用され、利用者は次回更新時に短縮後の有効期間を受け取る形となる。

　大半の利用者は自動更新しているため、特別な対応は不要だ。ただし、自動化の仕組みが短い有効期間に対応しているかどうかの確認が求められる。Let's Encryptは期限通りに更新できるよう「ACME Renewal Information」（ARI）の利用を推奨している。ARIは、各クライアントの手順に従って有効化する必要がある。ARI非対応の場合でも、更新間隔が証明書寿命の約3分の2程度になるようなスケジュールが望ましいとされ、60日固定の更新間隔では不十分になる点が指摘されている。手作業での更新は頻度増加に伴う負担が大きいため推奨されていない。併せて、更新失敗を検知できる監視体制の整備も勧めている。

　証明書寿命の短縮と認証再利用期間の縮小により、ドメイン管理権限の証明を実行する機会が増える。この課題に対応するため、Let's EncryptはCA/Browser ForumやIETFと協力し、新しい検証方式「DNS-PERSIST-01」の標準化に取り組んでいる。この方式において、管理権限確認に使うDNSのTXTレコードを更新ごとに変更する必要がなく、初期設定後は継続利用が可能となる。DNS更新権限を頻繁に扱わずに済むため、自動化のハードルが下がる点が利点と説明されている。DNS-PERSIST-01は2026年の提供開始が見込まれており、詳細は今後案内される。