Let’s Encryptが「短期証明書」を導入すると発表、セキュリティが向上＆IPアドレスでの発行も可能に

TLSに必要な証明書を無料で発行してくれる世界最大の認証局「Let's Encrypt」が、2025年内に有効期限が6日間しかない「短期証明書」の発行を開始すると発表しました。短期証明書では、ドメインの代わりにIPアドレスの検証を可能にするオプションも用意されるとのことです。

Announcing Six Day and IP Address Certificate Options in 2025 - Let's Encrypt
https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/


Let's Encryptを運営するInternet Security Research Group(ISRG)は2024年の年次報告書において、「2025年に有効期限が6日間の証明書を発行できるようにする」と発表していました。今回のブログ発表ではより具体的な計画の内容が公開されています。

TLSでは、証明書に関連付けられている秘密鍵が流出した場合、証明書を失効させて使用しないように周知するという対策が行われます。しかし、失効したという情報を適切に扱わないクライアントやサービスが存在しており、失効している証明書が当初の期限まで使用され続けてしまうことがありました。

証明書の期限を短くすることで、失効後に証明書が使用されてしまう期間が短くなり、実際には失効している証明書を誤って使ってしまうことで引き起こされるさまざまなトラブルの量を減らすことが可能です。


Let's Encryptは2025年内に6日間の有効期限を持つ「短期証明書」の発行を開始するとのこと。短期証明書では失効の仕組みであるOCSPやCRLが含まれないほか、発行には自動で証明書を更新する仕組みが必要とのこと。また、短期証明書ではIPアドレスがオプションとしてサポートされる予定で、ドメイン名がなく直接IPアドレスでアクセスする必要があるサービスでも安全なTLS接続が利用可能になります。

Let's Encryptは2025年2月に自社用の短期証明書を発行し、4月ごろより一部のユーザー限定で短期証明書の導入を進めていくとのこと。一般が短期証明書を使えるのは2025年末ごろの予定となっています。

なお、短期証明書の導入後も従来の90日間有効な証明書は引き続き発行可能とのこと。ACMEクライアントが証明書の自動更新を行っている場合、そのままスムーズに短期証明書に移行できると述べられています。