サーバー証明書の最大有効期限問題(ブラウザ特にapple Safari)

SSL/TLS通信で使われるサーバー証明書ですが、最大の有効期限があるのをご存知でしょうか?
例えば、自己証明書を作成しようとした時に、サーバー証明書の有効期限を1年以上の5年でも10年でも100年でも作成できますが、

ブラウザによっては、このサーバー証明書の長い有効期限を許さない問題です。

環境・前提条件

普通の使い方では、サーバー証明書の有効期限は1年が普通だと思いますが、AWSのClientVPNで、Openvpnソフトのeasyrsaで自己証明書を作りますと、サーバー有効期限のデフォルト値が「825日」ということで、

この「825日」という数字は一体何?

と思いまして、調べました。

結論、ブラウザを使用したwebサイトでは有効期限1年の証明書を買うべき

ざっくりいいますと、

  • 2018年3月より、有効期限3年のサーバー証明書を発行できなくなりSSLサーバー証明書の最長有効期限は825日(27ヶ月)となった
  • Appleが2020年9月より、SafariではるSSLサーバ証明書の有効期間を398日に制限すると発表
  • Google ChromeやMozilla Firefoxも、今後追随対応する可能性あり

という状態です。
どんなブラウザでも、安心して信頼して見れるwebサイトでは、

今後サーバー証明書は有効期限一年のものを買うべきですね。

つまり一年に一回、サーバー証明書の更新作業(運用)が発生しますね

webサイトの運営には

  • 毎年サーバー証明書を購入して、
  • 毎年サーバー証明書の更新運用をして、

webサイトの運用に手間暇かかりますね、面倒ですね(忘れてしまいそうですけど)・・・。
しかしそれが、

ユーザーへのwebサイトの証明と信頼

につながっているということですね。

ちゃんと第三者機関と手続きしていて、会社の存在証明(EV証明書は電話確認が必要)をしていて、webサイトを忘れずに運用されているという事、そのサーバー証明書更新時点まではされていたという事。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です