公開 TLS サーバー証明書の 最大有効期間が段階的に短縮されます。CA/Browser Forum で可決された SC-081v3 により、現在の最大 398 日から、最終的に 47 日へ向かいます。これは SSO・IdP・API を含むすべての HTTPS 基盤に関わる重要な変化です。
短縮スケジュール
| 時期 | 最大有効期間 |
|---|---|
| 〜2026/3/15 | 398 日 |
| 2026/3/15〜 | 200 日 |
| 2027/3/15〜 | 100 日 |
| 2029/3/15〜 | 47 日 |
実際の影響度は環境により異なります。年間の更新回数・工数の試算は TLS更新周期シミュレーター でどうぞ。
なぜ短くするのか
- 失効情報の鮮度向上 — 漏洩・誤発行された証明書が長く有効であるリスクを減らす
- 暗号アジリティ — 新しいアルゴリズムへ素早く移行できる
- 自動化の前提化 — 手作業更新を現実的でなくし、自動更新を標準にする
SSO基盤にとっての意味
SSO は「止まると全社の業務が止まる」基盤です。証明書まわりの事故は致命的になりがちです。
- IdP・SP のサーバー証明書が切れると認証連携が停止する
- SAML 署名証明書 / メタデータの期限切れでアサーション検証が失敗する
- 短寿命化で 更新頻度が数倍になり、手作業運用は破綻しやすい
取るべき対策
- 証明書の棚卸しと監視 — どこに何枚あるか可視化し、期限をアラートする
- 更新の自動化 — ACME(Let's Encrypt 等)や各CAの自動化APIを活用する
- 内部システムも含めて整備 — ゼロトラストでは社内も TLS 必須(ゼロトラストとID管理)
- 調達の効率化 — 繰り返す更新を前提に、低コストで確実に入手できる調達先を確保する
まとめ
短寿命化は「証明書運用を自動化・効率化せよ」というメッセージです。SSO 基盤の安定運用には、監視・自動更新・確実な調達の3点セットが欠かせません。証明書の調達は エスロジカルのSSL証明書 もご検討ください。あわせて SSO導入チェックリスト の「TLS/証明書運用」項目も確認を。