Let's Encryptが発行するサーバ証明書の有効期限が90日から6日間になるかもしれない。

Let's Encrypt is?

Let's Encryptは暗号通信に必要なサーバ証明書を世界で最も発行している機関。

letsencrypt.org

Certbotなどを使ってドメインやサブドメインの所有権を証明することで、Let's EncryptがCA認証局としてサインしたサーバ証明書を無料で発行してくれる。Let's Encryptの発行する証明書は既に主要ブラウザでは有効なものとして取り込まれているので、これを利用することで無料でHTTPS (a.k.a SSL, TLS) 通信が出来る 。

サーバ証明書には有効期限がある

Let's Encryptに限らず、CA認証局が発行するサーバ証明書には有効期限がある。

Let's Encryptのサーバ証明書の有効期限は2025年2月現在は90日間だが、1/16に有効期限6日間のサーバ証明書の発行を始めるとの発表があった。

letsencrypt.org

発表によれば2025年4月頃から試験提供、2025年末頃までに "オプトイン" で一般提供予定とのこと。

なぜサーバ証明書の有効期限を短くするのか

サーバ証明書の秘密鍵が漏洩しちゃった場合などに証明を取り消す方法としてOCSP (Online Certificate Status Protocol) やCRL (Certificate Revocation List) がある。しかしこれらにはプライバシー問題があったり、それらを提供するためのサーバコストがかさんだり、実際にはあまり機能してなくて期限が切れるまで悪用されてしまうなどの問題があった。

そこで、サーバ証明書の有効期限を短くすることでそれらの問題を解決できて、かつOSCP/CRLの運用コストも削減できる、という目論見のようだ。

サーバ証明書有効期限の短縮についてはGoogleも賛同していて、この試みが上手く回るようならLet's Encrypt以外のCAも追従してWebスタンダードとなるかもしれない。