SSL/TLSサーバ証明書、最大有効期間 398 日へ短縮(フィッシング対策協議会)
フィッシング対策協議会は、サーバ証明書の有効期限の短縮に関するお知らせを公開した。
製品・サービス・業界動向
業界動向
サーバ証明書の有効期間は、業界団体であるCAブラウザフォーラムによる議論で決定されるが、6月の会合ではGoogleもこの動きに追随する計画を発表しており、Mozillaも同様の発表を行っている。他の主要ブラウザも同様の発表を行う可能性がある。SSL/TLSサーバ証明書は、公開鍵暗号方式を使用している。暗号化と復号に公開鍵と秘密鍵の2種類の鍵を利用することが特徴となっている。
この暗号方式では、素因数分解問題や離散対数問題といったコンピュータの苦手な計算を使用することで、容易に解読できない暗号強度を実現している。そして、コンピュータの性能の向上により暗号が解けてしまう可能性から、難易度(強度)を上げている。しかし、そのためには端末側の強度を上げることと、サーバに実装する証明書の強度を上げる必要がある。現在では、端末に家電やPOS、IoT機器も含まれるようになり、アップデートが難しくなっている。
6月時点で、サーバ証明書の有効期間は最長825日(27カ月)と規定されている。当初のCAブラウザフォーラムでの提案は、最長有効期間であった39カ月を1年(398日)に短縮するというものであったが、認証局メンバーの自社ユーザへのヒアリング情報をもとに、825日が現状で市場に受け入れられる限度という状況を訴求し、決定を見たという経緯がある。
![NTTコミュニケーションズのインシデント、想起されるグループほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/31690.jpg)
