無料のTLS証明書を提供する認証局「Let’s Encrypt」は2025年12月2日、発行する証明書の有効期限を段階的に短縮し、2028年には最大45日とする方針を正式に発表しました。
目次
概要
Let’s Encryptは現在、90日有効の証明書を発行していますが、今後数年をかけてこの期間を半分の45日まで縮めていきます。
ブラウザベンダーや認証局が参加する業界団体「CA/Browser Forum」が、新たなベースライン要件として公開信頼された証明書の有効期限を47日以内に制限することを決めたことを受けて対応とされ
同時に、ドメイン所有者の検証結果を使い回せる「認証再利用期間」も、現状の30日から最終的に7時間へと大幅に短縮される予定です。
なぜ有効期限を短くする効果
証明書の有効期限を短くする理由として、Let’s Encryptは次のような効果を挙げています。
-
秘密鍵や証明書が漏えいした場合の被害期間を短くできる
-
失効(リボーク)技術の有効性が高まり、運用も効率化される
-
インターネット全体の暗号化基盤の安全性が向上する
段階的な移行スケジュール
Let’s Encryptは、利用者の混乱を抑えるため、以下の3段階で有効期限の短縮を行います。
2026年5月13日:テスト向けに45日証明書を提供開始
-
ACMEの 「tlsserver」プロファイル を利用した場合、
証明書の有効期限が 45日 になります。 -
これは任意選択のテスト用フェーズで、早期に新ルールを試したいユーザー向けです。
-
本番環境に適用する前に、自社の自動更新フローが45日ライフサイクルに対応できるか確認する目的があります。
2027年2月10日:デフォルトが「64日」へ短縮
-
これまで標準だった 「classic」ACMEプロファイル による証明書の有効期限が
90日 → 64日 に短縮されます。 -
ドメイン認証結果の再利用期間は 10日 になります。
-
「tlsserver」や、既にある短命の 「shortlived(6日)」プロファイル を使っていない多くのユーザーは、この変更の影響を受けます。
2028年2月16日:すべての新規証明書が「45日」へ
-
デフォルトの classic プロファイル の有効期限が 45日 になります。
-
認証再利用期間は一気に 「7時間」 まで縮小されます。
-
これ以降、新規に発行されるLet’s Encrypt証明書は、原則として45日を超えて有効になることはありません。
この変更は、新しく発行・更新される証明書から段階的に適用されるため、利用者は各タイミング以降の「次回更新」から短い有効期限を目にすることになります。
認証再利用期間も「30日 → 7時間」に
現在、Let’s Encryptでは一度ドメイン所有権を検証すると、その結果を最大 30日間 再利用でき、同じドメインに何度でも証明書を発行できます。
しかし概要の通り2028年には、この再利用期間が「7時間」まで短縮されます。
ほとんどのユーザーは自動化されていればそのままでOK
Let’s Encryptは、次のように説明しています。
-
ACMEクライアントで発行・更新を自動化しているユーザーは、原則として追加作業は不要
ただし、証明書の有効期限が45日に短くなってもきちんと事前に自動更新が走るか
を必ず確認してほしい、と注意喚起しています。
たとえば、クライアント側で
「60日ごとに更新」のような固定スケジュールにしている場合、有効期限45日の証明書は 期限切れになってから 更新を試みることになり、サービス停止の原因になります。
Let’s Encryptは、証明書の有効期限の約3分の2の時点(45日なら30日目あたり)で更新をかける運用を推奨しています。
関連記事
Let’s Encrypt、IPアドレス専用証明書(IP SAN証明書)の発行に向けて準備中
サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散
ユーチューバーへ偽の著作権侵害の警告を行い、マルウェアの拡散を脅迫
6000以上のワードプレスがサイバー攻撃とハッキングの被害
JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響
Oktaが修正された脆弱性が悪用されていないか確認するようユーザーへ指示
PyPIがドメイン復活攻撃 対策を本格導入-期限切れドメインの検知でメール認証を自動失効、サプライチェーンの乗っ取り経路を遮断
マツダのインフォテインメント システムに重大な脆弱性
Bluetoothの脆弱性によりハッカーによる盗聴や標的型攻撃が可能に
