TLS証明書の有効期限は急速に短縮されており、これによりすべての組織が更新、検証、障害防止を扱う方法が変わります。Let’s Encryptは、90日間の証明書から45日間の証明書(段階的な展開)に移行し、認証再利用ウィンドウを大幅に短縮することを確認しました。同時に、CA/Browser Forumの投票SC-081v3は、最終的に2029年3月15日までに公的TLS証明書を47日間に制限する広範な業界スケジュールを採用しました。
数十または数千の証明書を管理しているチームにとって、実際の話は「短い証明書」ではありません。それはより高い更新速度、より厳しい検証再利用、そして運用エラーのためのはるかに小さな余裕です。 ウェブサイトの監視とアラートは交渉の余地がありません。
SSL/TLS証明書の有効期限で何が変わるのか?
45日間のポリシー(Let’s Encrypt)
Let’s Encryptは現在90日間有効な証明書を発行しており、2028年までにそれを45日間に短縮します。これは突然の「スイッチの切り替え」ではありません。Let’s EncryptはACMEプロファイル:を使用して段階的に展開しています。
日付 | 変更 | 認証再利用 | 影響を受けるプロファイル |
|---|---|---|---|
2026年5月13日 フェーズ1 | tlsserverプロファイルが45日間の証明書を発行 | 30日(変更なし) | 早期採用者 / テスト |
2027年2月10日 フェーズ2 | デフォルトの クラシック プロファイルは64日間の証明書に移行します | 10日間に短縮されました | tlsserver または shortlived にないすべてのユーザー |
2028年2月16日 フェーズ3 | デフォルトの クラシック プロファイルは45日間の証明書に移行します | 7時間に短縮されました | デフォルトプロファイルのすべてのユーザー |
重要なポイント
認証の再利用期間は、証明書の有効期限と同じくらい重要です。これは、以前のドメイン制御検証を再利用して追加の証明書を発行できる時間枠です。Let’s Encryptは、2028年までにそれを30日からわずか7時間に短縮します — 信頼できるACME自動化を必須にし、オプションではなくします。
業界の基準: 47日間 (CA/ブラウザフォーラム)
CA/ブラウザフォーラムの投票SC-081v3は、最大の公開TLS証明書の有効期限を200日(2026年)、100日(2027年)、および47日(2029年)に短縮する段階的なスケジュールを導入しました。
Let’s Encryptの「45日」は、業界の「47日」の最大有効期限と完全に互換性があります — Let’s Encryptは、CA/Bフォーラムの要求よりも1年早くその最終状態に到達する計画を立てています。
なぜ証明書の有効期限が短縮されているのか?
短い有効期限は、4つの相互に関連する目標によって推進されるセキュリティとレジリエンスの戦略です:
- 妥協の爆風半径の縮小: プライベートキーが盗まれたり、証明書が誤って発行された場合、短い有効期限はその証明書がどれだけ長く悪用されるかを制限します。
- より効果的な取り消しエコシステム: 短命の証明書は、取り消しが完璧であることへの依存を減らし、Let’s Encryptは短い有効期限が取り消し技術をより効率的にすることを指摘しています。
- 古い検証データの削減: CA/Bの変更は、ドメインとIPの検証が再利用できる期間も縮小します — 2029年3月までに10日間に短縮されます。
- 自動化と機敏性への推進: ブラウザとルートプログラムは、自動化を明示的に奨励しています。なぜなら、それが短いライフサイクルを可能にし、ダウンタイムを減らし、より迅速なセキュリティ改善を実現するからです。
証明書の有効期限短縮のタイムライン
825日から45日への進行の背後にある実際のストーリーラインは次のとおりです:
最大有効期限 | 時代 | 主要な要因 |
|---|---|---|
825日 | 2020年以前のレガシー最大値 | 強制される業界の上限なし |
398日 | 2020年9月以降 | Appleは2020年9月1日以降に発行された証明書に対して398日の最大値を強制; 非準拠の証明書は接続失敗を引き起こす |
90日 | Let’s Encryptの基準 (2014–2027) | Let’s Encryptは「自動化ネイティブ」の期待を構築しました。Chromeのセキュリティチームは、機敏性と回復力のために自動化を強調しました。 |
45 / 47日 | 2028–2029年の目標 | Let’s Encryptは45日(2028年2月16日)に到達しました。CA/Bフォーラムは業界を47日(2029年3月15日)に制限します。 |
45日証明書の業界全体への影響
これはLet’s Encryptだけの変更ではありません。Let’s Encryptは、CA/ブラウザフォーラムのベースライン要件に従って「業界全体と共に移行している」と明言しており、すべての公的に信頼されたCAが同様の移行を行うことになります。
これがLet’s Encryptと他のCAに与える影響
- 更新速度がデフォルトの運用モードになる: 2029年までに、組織は実質的に継続的な更新サイクルに入ります — 特に大規模な場合。
- 検証の再利用が劇的に減少: ドメインおよびIPの検証再利用は2029年3月までに10日まで減少する予定で、手動または時折のプロセスは脆弱になります。
- ACMEと更新インテリジェンスがより重要になる: Let’s Encryptは、クライアントがいつ更新すべきかを知るためにACME更新情報(ARI)の使用を推奨しており、「60日ごと」などのハードコーディングされた更新間隔は45日間の世界では破綻することを警告しています。
- 新しい検証アプローチが登場: Let’s Encryptは、持続的なDNS TXTレコードを許可することで頻繁なドメイン検証の運用負担を軽減するDNS-PERSIST-01に取り組んでおり、2026年に期待されています。
45日証明書の運用上の課題
45日証明書は「2倍の頻度で更新する」だけではありません。根本的に失敗モードを変えます:
- エラーのための小さなバッファ: 一度の更新ウィンドウの見逃しが、ユーザーに見えるダウンタイムにすぐに変わる可能性があります。
- より多くの可動部品: ロードバランサー、CDN、Kubernetesのイングレス、サービスメッシュ、APIゲートウェイ、レガシー機器などがすべて調整された更新を必要とするかもしれません。
- 検証の摩擦: 2028年までにLet’s Encryptのクラシックプロファイルの認可再利用が7時間まで低下するため、DNS/HTTPチャレンジの自動化は信頼性が必要です — 「最善の努力」ではなく。
- 在庫の盲点: ほとんどの障害は「忘れられた」証明書で発生します — 非プロダクションエンドポイントがプロダクションに昇格したり、古いサブドメイン、パートナー管理のドメイン、デバイスやミドルウェアに埋め込まれた証明書などです。
- 変更管理のオーバーヘッド: より頻繁な証明書のローテーションは、誤設定の可能性を高めます: 誤ったチェーン、不完全なチェーン、ホスト名の不一致、または一部のノードにのみデプロイすること。
これらの失敗モードの多くは、証明書が発行された後に発生します — 伝播中、リロード中、エッジキャッシング中、または部分的なロールアウト中 — チームは外部からの検証を追加することで利益を得ます: 実際のクライアントが本番環境で受け取るものを確認するチェックであり、内部ログが何が起こったかを示すだけではありません。
証明書の有効期限監視が重要な理由
Let’s Encrypt自体は、証明書が期待通りに更新されない場合に警告するために十分な監視を持つことを推奨しており、SSL監視ツールを使用しています。実際には、監視がキャッチするのは:
- 静かに失敗した更新自動化;
- 再発行のために「オフサイクル」で期限切れになる証明書;
- チェーンまたは発行者の変更;
- ホスト名の不一致や不完全なデプロイ。
適切な監視がなければ、SSL証明書はブラウザに「あなたの接続はプライベートではありません」という警告を表示させ、SEOランキングを一晩で悪化させ、訪問者がサイトにアクセスできなくなることがあります。その結果は即座に測定可能です — そして45日証明書が約30日ごとに更新されるため、ユーザーに見えるダウンタイムになる前に静かな失敗をキャッチするウィンドウは大幅に狭くなります。
🔍 Dotcom-Monitorがあなたの証明書を有効に保つ方法
Dotcom-MonitorのSSL証明書監視は、30以上のグローバルロケーションから定期的なチェックを行うインテリジェントで常時稼働の証明書チェッカーとして機能します。ドメインを追加すると、プラットフォームは世界中の実際のユーザーが体験するのと同じ方法で証明書の検証を開始します — 単なるpingではなく、完全なTLSハンドシェイクを実行します。
監視される各ドメインまたはエンドポイントについて、プラットフォームは自動的に以下を確認します:
- 証明書チェーンの整合性と発行者の正確性;
- 有効期限と残り日数のカウントダウン;
- SANとホスト名の整合性;
- 潜在的な不一致、無効な応答、または信頼されていない発行者;
- すべての監視デバイスにおける構成の健全性。
すべての結果は、リアルタイムの集中ダッシュボードに表示され、インテリジェントなソートとフィルタリングが行われます — これにより、チームは問題がエスカレートする前に発見でき、少数のドメインを管理する場合でも、数百のドメインを管理する場合でも対応できます。
45日間の世界における自動化リスク
短い証明書の有効期間は更新イベントの頻度を増加させ、それに伴い自動化の失敗の可能性も高まります。45日サイクルでは、小さな運用上の弱点も早く、頻繁に表面化します。
なぜ自動化だけでは45日間の世界でより頻繁に失敗するのか
最も一般的な失敗ポイントは以下の通りです:
- DNS-01レコードが予想よりも遅く伝播する;
- CDNまたはWAF層によって中断されたHTTP-01チャレンジ;
- 検証をブロックする誤設定されたファイアウォールポリシー;
- 再試行中にトリガーされるACMEレート制限;
- 再起動中に証明書ディレクトリを削除するコンテナ;
- 静かに失敗するsystemdタイマー;
- 更新された証明書を再読み込みしないロードバランサー。
重要:
これらの問題は新しい問題になったわけではありません — それらは緊急の問題になりました。更新が2倍の頻度で行われると、これらの条件に遭遇する確率が比例して増加します。自動化は依然として不可欠ですが、外部の検出がなければライフサイクルのデプロイメント側に盲目的に動作します。
🔍 Dotcom-Monitorが更新失敗を検出する方法
ACMEの自動化が静かに失敗した場合 — 発火しなかったsystemdタイマー、タイムアウトしたDNSチャレンジ、再読み込みされなかったロードバランサー — Dotcom-Monitorは継続的な外部からの検証を通じてそれをキャッチします。このプラットフォームは、証明書が期限切れに近づいているか、すでに無効な状態に入っていることを検出した瞬間に即座に通知を送信します。これは、内部の自動化ログが報告する内容に関係なく行われます。
アラートは、あなたのチームがすでに使用しているチャネルを通じて配信されます:
- メール
- SMS
- Slack
- Microsoft Teams
- PagerDuty
- Webhooks
カスタマイズ可能なアラート閾値により、正確なタイミングで警告を受け取ることができます — アラート疲れを引き起こすほど早すぎず、ダウンタイムを防ぐために遅すぎることもありません。すべてのアラートは、証明書、ドメイン、および推奨されるアクションを明確に特定します。
隠れたリスク:更新後のデプロイメントドリフト
更新の成功はデプロイメントの成功ではありません。分散環境では、これら2つの状態は頻繁に乖離します。この乖離はデプロイメントドリフトと呼ばれ、最も過小評価されているTLSの失敗モードの1つです。一般的な原因には以下が含まれます:
- CDNがオリジンの更新後もキャッシュされた証明書チェーンを提供し続けること;
- マルチリージョンのロードバランサーが1つのリージョンで更新されるが、別のリージョンでは更新されないこと;
- Kubernetesポッドが更新されたTLSシークレットを再読み込みできないこと;
- リバースプロキシが新しいキー ペアを取得するために完全な再起動を必要とすること;
- ローリングインフラストラクチャの更新中にエッジノードが遅れること。
重要なポイント
90日サイクルでは、ドリフトは時折発生する事象でした。45日サイクルでは、ドリフトは明示的に監視されない限り、統計的により可能性が高くなります。短いライフタイムは更新頻度を増加させるだけでなく、分散システム全体での伝播リスクも増加させます。
なぜ外部証明書監視が最も信頼できる独立したチェックなのか
内部システムは更新パイプラインを監視します。外部システムはユーザーエクスペリエンスを監視します。これらの視点は多くの場合乖離します。内部監視はACMEクライアントが実行されたこと、証明書が発行されたこと、ファイルがディスクに書き込まれたことを確認できますが、エッジで正しい証明書が提供されていること、すべてのリージョンが更新されていること、または信頼チェーンが完全であることを確認できないことがよくあります。
外部監視は、クライアントが行う方法で証明書を検証します:
- 完全なTLSハンドシェイクを実行する;
- チェーンの整合性を検査する;
- SANとホスト名の整合性を確認する;
- 予期しない発行者/チェーンのシフトを検出する;
- 本番環境での有効期限を確認する
重要なポイント
最も重要なのは、外部監視は分散した地理的ロケーションから実行できるため、地域レベルのドリフトやCDNエッジの不整合を検出するのに役立ちます。これは、単一の内部視点では見逃すことになります。外部からのチェックは、更新の成功が正しい本番配信に変換されたことを検証する最も信頼できる方法です。
🔍 Dotcom-Monitorがあなたの自動化スタックに必要な独立したチェックである理由
Dotcom-Monitorは、世界中のサーバーであなたの証明書をチェックし、国際的なトラフィックに対して正確な結果を提供し、証明書がホストされている場所に関係なく継続的なSSL監視を保証します。このグローバルなリーチは、分散インフラストラクチャを持つウェブサイトにとって特に重要です — CDNエッジ、マルチリージョンのロードバランサー、Kubernetesクラスター — ここでは、証明書がオリジンで正しく更新されているが、すべてのエッジノードにまだ伝播されていない可能性があります。
このプラットフォームは、エッジネットワーク、ロードバランサー、CDN全体の監視をサポートしています — デプロイメントドリフトが最も一般的に発生する正確なレイヤーです。また、すべての監視デバイスのタイムライン、ステータス更新、および証明書の健康状態をまとめたスケジュールされたグローバルレポート(日次、週次、または月次)もサポートしており、手作業を減らし、チーム間の可視性をサポートします。
コンプライアンス重視の組織向けに、Dotcom-Monitorは証明書の詳細、発行者情報、信頼チェーンの記録、エラーログを含むエクスポータブルな監査レポートを生成します — 監査人が通常要求するすべてが1つの場所に集約されています。
短命の証明書のための監視戦略の構築
45日間の証明書ライフサイクルは、基本的な有効期限アラート以上のものを必要とします。監視は「期限切れの前にリマインドする」から「正しいデプロイメントを継続的に確認する」へと進化しなければなりません。
完全なインベントリから始める
ほとんどのダウンタイムは盲点から発生します。監視には、すべての公開ウェブサイトとサブドメイン、APIおよびパートナー向けエンドポイント、CDNエッジおよびオリジンサーバー、外部に公開された内部ゲートウェイ、レガシーインフラストラクチャおよびアプライアンスが含まれていることを確認してください。監視されていないエンドポイントは管理されていないリスクです。
複数のグローバルロケーションからの監視
単一のプローブでは地域のドリフト、CDNエッジの不整合、またはISP特有の信頼チェーンの問題を検出できません。グローバルな検証は、どこでもチェーンの正確性、地域間の一貫性、エッジの伝播成功を保証します。 Dotcom-Monitorは30以上のグローバルロケーションからチェックします。これにより、これらの複数ロケーションのチェックは繰り返し可能で、一貫性があり、初期設定後は手動の努力なしでスケジュールに従って行われます。
有効期限以上の検証
有効期限は唯一の失敗モードです。監視は以下も確認する必要があります:
- 完全な信頼チェーンと正しい中間CA;
- SAN/ホスト名の正確性;
- 暗号とプロトコルの互換性;
- 予期しない発行者の変更。
更新後の検証をトリガー
更新イベントは自動的に即時の本番検証、複数地域の証明書比較、およびチェーン検証チェックを開始する必要があります。ドリフトは最も頻繁に更新後すぐに現れます — 有効期限前ではありません。
45日ライフサイクルのための階層アラートを使用する
最終的な考え:45日時代の監視と検出
短命の証明書はセキュリティ姿勢を向上させます。また、運用の許容範囲を圧縮し、構成や展開のエラーを検出するためのウィンドウを減少させます。自動化は必須ですが、検証なしの自動化はスケールで脆弱になります。
45日時代の本当の運用の変化は次の通りです:
- 更新は継続的です;
- 検証再利用ウィンドウは縮小しています;
- 展開のドリフトが統計的により頻繁になります;
- 外部検証が必須になります
Dotcom-MonitorのSSL証明書監視は、まさにこの環境のために設計されています。チェーンの正確性、ホスト名の整合性、有効期限の状態、そしてグローバルな展開の一貫性を、世界中の30以上のロケーションからリアルタイムで検証し、Slack、Teams、メール、SMS、PagerDutyにアラートを送信します。単一のドメインを管理する場合でも、数百のドメインを管理する場合でも、プラットフォームはすべての証明書を自動的に整理、追跡、検証します。
TLSのライフタイムが業界全体で短縮される中、検出と検証はオプションの保護策ではなく、基礎的なコントロールとなります。Dotcom-Monitorが内部の自動化だけでは提供できないものは次のとおりです:
機能 | 解決すること |
|---|---|
30以上のグローバル監視ロケーション | 地域のドリフトとCDNエッジの不整合を検出 |
完全なTLSハンドシェイク検証 | 内部ログが報告するものだけでなく、実際のユーザーが受け取るものを確認します |
チェーンと発行者の検証 | 不完全なチェーン、誤った中間者、予期しない発行者の変更をキャッチします |
カスタマイズ可能な有効期限アラート閾値 | 20、10、5日の段階的警告 — 45日ライフサイクルに合わせて調整されています |
Slack、Teams、PagerDuty、SMSアラート | 適切なチャネルを通じて、瞬時に適切な人に届きます |
自動化されたスケジュールレポート | 発行者、チェーン、アルゴリズム、エラーの詳細を含む監査準備完了のエクスポート |
エッジ、CDN & ロードバランサーのサポート | デプロイメントのドリフトが最も頻繁に発生する正確なレイヤーを監視します |
集中管理されたマルチドメインダッシュボード | 数十または数百の証明書を管理するチームのための単一の窓口 |
FAQ: Let’s Encrypt 45日証明書の有効期限
tlsserver ACMEプロファイルは2026年5月13日に開始され、デフォルトのclassicプロファイルは2028年2月16日に45日になります。変更は各本番日のおおよそ1ヶ月前にステージング環境に展開されます。