SSL/TLS通信で使われるサーバー証明書ですが、最大の有効期限があるのをご存知でしょうか?
例えば、自己証明書を作成しようとした時に、サーバー証明書の有効期限を1年以上の5年でも10年でも100年でも作成できますが、
ブラウザによっては、このサーバー証明書の長い有効期限を許さない問題です。
環境・前提条件
普通の使い方では、サーバー証明書の有効期限は1年が普通だと思いますが、AWSのClientVPNで、Openvpnソフトのeasyrsaで自己証明書を作りますと、サーバー有効期限のデフォルト値が「825日」ということで、
この「825日」という数字は一体何?
と思いまして、調べました。
- 2020年9月よりAppleがSSL証明書の有効期間を13か月に短縮!詳細や対策とは? | さくらのSSL
- SSL/TLSサーバ証明書、最大有効期間 398 日へ短縮(フィッシング対策協議会) | ScanNetSecurity
- SSLサーバ証明書の有効期間を短縮するというAppleの決定に関して | グローバルサインブログ
結論、ブラウザを使用したwebサイトでは有効期限1年の証明書を買うべき
ざっくりいいますと、
- 2018年3月より、有効期限3年のサーバー証明書を発行できなくなりSSLサーバー証明書の最長有効期限は825日(27ヶ月)となった
- Appleが2020年9月より、SafariではるSSLサーバ証明書の有効期間を398日に制限すると発表
- Google ChromeやMozilla Firefoxも、今後追随対応する可能性あり
という状態です。
どんなブラウザでも、安心して信頼して見れるwebサイトでは、
今後サーバー証明書は有効期限一年のものを買うべきですね。
つまり一年に一回、サーバー証明書の更新作業(運用)が発生しますね
webサイトの運営には
- 毎年サーバー証明書を購入して、
- 毎年サーバー証明書の更新運用をして、
webサイトの運用に手間暇かかりますね、面倒ですね(忘れてしまいそうですけど)・・・。
しかしそれが、
ユーザーへのwebサイトの証明と信頼
につながっているということですね。
ちゃんと第三者機関と手続きしていて、会社の存在証明(EV証明書は電話確認が必要)をしていて、webサイトを忘れずに運用されているという事、そのサーバー証明書更新時点まではされていたという事。