2025年12月03日 15時49分ネットサービス

Let’s Encryptが証明書の有効期間を45日間に短縮すると発表

現地時間の2025年12月3日、ウェブサイトに無料でTLS証明書を発行しているLet's Encryptが、発行する証明書の有効期限を90日から短縮することを発表しました。有効期限は2028年までに少しずつ減少していき、最終的に45日となる予定です。

Decreasing Certificate Lifetimes to 45 Days - Let's Encrypt
https://letsencrypt.org/2025/12/03/from-90-to-45

TLSおよびコード署名にX.509電子証明書を使用する認証局やインターネットブラウザベンダー、その他のアプリケーション提供者からなる業界団体のCA/Browser Forumが規定するベースライン要件は、Let's Encryptが順守すべき技術要件を定めるものでもあります。このベースライン要件に基づき、Let's Encryptは業界全体と連携し、証明書の有効期限を2028年までに45日まで短縮すると発表しました。

証明書の有効期限を45日に短縮することで、侵害の範囲が制限され、証明書失効技術の効率化が促進されるため、インターネットセキュリティの向上にもつながるとLet's Encryptは説明しています。また、ドメイン管理の検証後、ドメインに対して証明書の発行を許可する期間である認証再利用期間も短縮する予定です。この認証再利用期間は、記事作成時点では30日ですが、2028年までに7時間にまで短縮される予定となっています。

混乱を最小限に抑えるため、Let's Encryptは変更を段階的に展開予定で、詳細は以下の通り。

2026年5月13日：Let's EncryptはTLSサーバーのACMEプロファイルを45日間有効な証明書発行に切り替えます。このプロファイルはオプトイン方式で、アーリーアダプターやテストで利用可能です。
2027年2月10日：Let's EncryptはデフォルトのクラシックACMEプロファイルを、10日間の認証再利用期間を持つ64日間の証明書発行に切り替えます。これは、TSLサーバーまたはShort-lived(6日間)プロファイルにオプトインしていないすべてのユーザーに影響を与えます。
2028年2月16日：クラシックACMEプロファイルをさらに更新し、7時間の認証再利用期間を持つ45日間の証明書発行に切り替えます。

Let's Encryptは「証明書を自動発行しているほとんどのユーザーは、何もアクションを変更する必要はありません」と説明していますが、ACMEクライアントが期限通りに更新されるように、ARIを利用することを推奨しています。ARIは、クライアントが証明書の更新時期を把握できるように導入された機能です。

また、証明書の有効期間が短くなるため、「証明書を手動で更新することはお勧めしません」とLet's Encryptは記しています。また、証明書が予定通りに更新されない場合に適切なアラートを発するために、システムに十分な監視機能が搭載されていることを確認することを推奨しました。

証明書の自動発行において最も難しいのはドメイン制御の証明です。証明書の有効期間と認証再利用期間を短縮することで、ユーザーはより頻繁に制御を証明する必要が出てきます。記事作成時点で使用されているすべての検証方法は、ACMEクライアントがユーザーのインフラストラクチャにリアルタイムでアクセスできる必要があります。そのため、長年にわたって機密性の高いシステムへのアクセスを許可せずにACMEクライアントを実行する方法が求められてきました。

そこで、Let's EncryptはCA/Browser ForumやIETFのパートナー企業と協力し、DNS-PERSIST-01と呼ばれる新しい検証方式の標準化に取り組んでいます。DNS-PERSIST-01は制御を証明するために使用されるDNS TXTエントリを、更新のたびに変更する必要がないという点で優秀です。

つまり、DNSエントリを一度設定するだけで、DNSを自動更新する手段を必要とせずに証明書の自動更新が可能となります。これにより、より多くのユーザーが証明書の更新を自動化できるようになり、ACMEクライアントの介入なしにDNSレコードは変更されないため、認証情報の再利用への依存度も低減されます。なお、DNS-PERSIST-01は2026年に利用可能となる予定です。