SSL/TLS証明書の最大有効期間の短縮スケジュール
2025年4月11日、 CA/Browser ForumにおいてApple社が提案していた「Ballot SC‑081v3」が承認されました。
CA/Browser Forumは、電子証明書の発行や管理に関するガイドラインを策定する国際的な業界団体です。30以上の組織が会員として参加しており、各組織の提案に対して会員の投票によって議決される仕組みをとっています。
かつて、SSL/TLS証明書の最大有効期限は60か月(5年)でした。2015年03月時点のことです。そこから、SSL/TLS証明書の有効期限は、徐々に、しかしながら確実に、短縮の一途を辿っています。
2025年12月時点では、 CA/Browser Forumの要件によりSSL/TLS証明書の最大有効期間は398日以内とされています。しかし、「Ballot SC‑081v3」が承認されたことにより、SSL/TLS証明書の最大有効期間がさらに短縮されることになります。
Ballot SC‑081v3
https://cabforum.org/2025/04/11/ballot-sc081v3-introduce-schedule-of-reducing-validity-and-data-reuse-periods/
以下にSSL/TLS証明書の最大有効期間短縮に関するスケジュールをまとめます。
発行日 | 最大有効期間 |
~2026年3月14日 | 398日 |
2026年3月15日~2027年3月14日 | 200日 |
2027年3月15日~2029年3月14日 | 100日 |
2029年3月15日~ | 47日 |
証明書とは、発行時点の正しさを表すものです。発行から時間が経過するほど、証明書と現実が乖離する可能性が高くなります。そのため、有効期限を短縮することで、証明書の信頼性を向上させようという背景があります。
SSL/TLS証明書を利用している組織のご担当者さまにおいては、2029年に向けて、運用変更や構成変更を検討されるのではないかと推測しております。最大有効期限が47日となった場合、約1ヶ月半に一度、証明書を更新する作業が発生します。証明書更新の自動化を検討されるご担当者さまも多いのではないでしょうか。
ACMEとは
証明書の発行や更新を自動化するプロトコルとしてACMEが知られています。ACMEという名称はAutomatic Certificate Management Environment(自動証明書管理環境)の頭文字をとっています。ACMEプロトコルは、RFC 8555で規定されています。
このプロトコルを利用することで、下記に挙げるような証明書管理の手続きを自動化することができます。
鍵ペアの作成
CSRの作成、認証局への送信
ドメイン利用権の検証
証明書の設定、更新
ACMEクライアントというソフトウェアをWebサーバ等に導入して利用することが一般的です。
F5プロダクトの対応状況
本ブログの後半では、SSL/TLS証明書の最大有効期限の短縮に対して、F5社の各プロダクトがどのように対応しているのかをご紹介したいと思います。
BIG-IP
BIG-IPは物理アプライアンス/仮想アプライアンスとして提供されている、多機能なロードバランサーです。WAFや認証、アクセス制御などの機能も提供しています。
BIG-IPに導入できるACMEクライアントとして、KOJOT-ACMEというツールが提供されています。
KOJOT-ACME
https://github.com/f5devcentral/kojot-acme
KOJOT-ACMEをBIG-IPに導入すると、BIG-IPで利用するSSL/TLS証明書の管理を自動化することができます。ほかのACMEクライアントと異なり、BIG-IP専用に開発されているため、発行・更新した証明書をBIG-IPにインポートし、設定を行うところまで自動化することができます。
あいにく、現時点ではF5 contributed softwareとなっているため、F5の正式なサポートを受けることはできません。
将来的にはBIG-IP自体に組み込まれて提供されるのではないかと予想/期待しています。
NGINX
NGINXは、様々な環境に存在するLinuxへインストールして利用するソフトウェア型の多機能なロードバランサーです。コンテナやKubernetes環境のIngress / Gatewayとしても利用が可能です。WAFや認証などの機能も提供しています。商用版のNGINX Plus、オープンソースのNGINX OSSがあります。
NGINX Plusにおいては、2025年8月13日リリースのR35にて、ACME機能がNGINX自体に組み込まれました。また、2025年12月1日リリースのR36では、ACMEの機能拡張が行われています。
NGINX Plus Release 35 (R35)
https://docs.nginx.com/nginx/releases/#r35
NGINX Plus Release 36 (R36)
https://docs.nginx.com/nginx/releases/#r36
R35以降のNGINX Plusであれば、ngx_http_acme_moduleを利用することで、NGINXの設定(コンフィグ)のみで、NGINXで利用している証明書管理の自動化を行うことができるようになりました。
Module ngx_http_acme_module
https://nginx.org/en/docs/http/ngx_http_acme_module.html
・Distributed Cloud Services
Distributed Cloud Services(XC)は、F5のクラウドサービスです。WAAP(次世代クラウドWAF)をはじめ、DNSサービスや自動脆弱性診断、合成監視など、アプリケーション配信とWebセキュリティに必要な様々なサービスを展開しています。
WAAPを利用する場合、WebサイトへのトラフィックをXC上のHTTP Load Balancer経由にする必要があります。この場合、SSL/TLS証明書をXC上のHTTP Load Balancerに配置することで、クライアントからの通信をHTTPSにすることができます。この際に配置するSSL/TLS証明書に関しては、お客様にて取得した証明書をXCへインポートして設定することもできますが、XC上のHTTP Load Balancerでの証明書の自動発行・更新機能を利用することもできます。XCコンソールとお客様DNSサーバで必要な設定を行うだけで、証明書管理の自動化が実現できます。
XC WAAPについては、弊社ブログの各記事をご覧いただければ幸いです。
おわりに
SSL/TLS証明書の最大有効期間の短縮の概要と、それに対するF5社各プロダクトの対応について、ご紹介しました。各ご担当者の今後の検討の一助になればと思い、今回執筆させていただきました。
最後にF5社の関連するブログをご紹介させていただきます。
サーバ証明書の有効期限短縮提案に対するF5ソリューション
https://www.f5.com/ja_jp/go/blog-jp/f5-solution-to-shorten-server-certificate-expiration-date
NGINX証明書ライフマネージメント
https://www.f5.com/ja_jp/go/blog-jp/Certificate-Management-in-NGINX
不明点やご相談事項などございましたら、下記フォームより弊社F5製品担当営業までご連絡いただければ幸いです。
