はじめに
こんにちは!
最近イヤイヤ期の娘に「パパ好きじゃない」と言われる日々が続いており
精神が崩壊しかけている滝澤です...CC2課の滝澤です...
本日は巷で噂になりつつある、TLS証明書の段階的な最大有効期間短縮について見ていきたいと思います。
目次は以下の通りです。
概要
最近エクスポート可能なパブリック証明書を発行できるようになったAWS Certificate Managerについて調べていたところ、以下ブログを見つけました。
ブログの内容としてはエクスポート可能なパブリック証明書に関する内容なのですが、2025年7月2日に投稿が更新されており、FAQセクションが追加されたと言うものでした。
ご注目いただきたいのは「This includes our response to changing validity periods and associated certificate price points.」という一文。
要約すると「有効期限の変更と関連する証明書の価格設定に関する当社の対応が含まれています」ということ。
これに該当するのが、画像の内容となります。
こちら、簡単に説明するとTLS証明書の有効期間を2026年3月1日以降発行される証明書から2029年3月1日までに段階的に短縮すると言う内容でした。
有効期間短縮の背景
有効期間短縮の背景にはCertification Authority/Browser Forum(通称CA/Bフォーラム)という、Webサイトのセキュリティに関する標準の策定を行う団体があります。
CA/Bフォーラムは約50の認証局と9つのブラウザベンダーをメンバーとして構成されている団体となります。
有名なところだとAmazonやDigiCert、Let's Encryptなどがありますね。
cabforum.org
CA/BフォーラムはBaseline Requirementsという基準を策定しています。TLS証明書の有効期間もこの基準の内容に含まれています。
この基準にはCA/Bフォーラムのメンバーであるかに関わらず、すべてのパブリック認証局は準拠する必要があります。
そのため、AWSに限らずパブリック証明書を発行しているサービスすべてに影響があります。
今回のTLS証明書の有効期間短縮については長らくCA/Bフォーラムで論じられてきたようで、2025年4月11日に議論が終了し今回の変更が決定されたようです。
変更の概要とスケジュール
次に具体的な変更スケジュールと有効期間について確認していきましょう。
- 本日から 2026 年 3 月 11 日まで、発行される TLS 証明書の最大有効期間は 398 日です。
- 2026 年 3 月 1 日以降、発行される TLS 証明書の最大有効期間は 200 日になります。
- 2027 年 3 月 1 日以降、発行される TLS 証明書の最大有効期間は 100 日になります。
- 2029 年 3 月 1 日以降、発行される TLS 証明書の最大有効期間は 47 日になります。
※ AWSのブログ中では「3月1日以降」と記載がありますが、CA/Bフォーラムの基準では「3月15日」との記載があります。本記事ではAWSブログに従った日数としています。
ここでの本日とはブログが投稿された2025年6月30日であり、2026年3月11日までに発行された証明書は、従来通りの有効期間となっています。
実際に有効期間が短縮されるのは2026年3月1日以降に発行される証明書となります。
有効期間の短縮は2029年3月1日まで段階的に行われ、398日→200日→100日→47日と短縮されます。
AWSにおける影響
本ブログを見ているということは少なからずAWSに興味を持たれている方だと思います。
AWSではどのような影響・対応が必要なのかを確認していきましょう。
なお、AWSからの公式アナウンスがまだ出ていない認識ですので、一部憶測での記載があります。
TLS証明書の更新への影響
こちらは基本的にないと思われます。
ACMから発行したパブリック証明書については自動更新が行われるため、正常に更新された場合問題はありません。
現在の自動更新の使用では60日前に自動更新が行われるため、今後この日数も段階的に変更されると思われます。
ここで、「基本的に」と記載したのには理由があります。
今回の基準の変更ではTLS証明書の有効期間の変更と合わせてドメイン認証情報を再利用できる期間も短縮されています。
ドメイン認証情報の再利用とは、証明書を発行した際に証明書の正当性を確認し、その情報を一定期間保持し再認証を省略できる期間のことです。
この期間も397日→200日→100日→10日と短縮されます。
手動更新を行なっている場合、2029年3月1日以降は10日しか再利用可能期間がなく、その間に更新を完了する必要があります。
料金に関する影響
みなさん気になるのはこちらかと思います!!
まず、前提としてACMから発行するパブリック証明書において料金が発生するのは
「エクスポート可能なパブリック証明書」のみです。
FQDNあたり15 USD、ワイルドカードの場合149 USDかかります。
また、上記の料金は更新の際にも発生します。もう一度言います。更新の際にも発生します。
とても大切なので2回言いましたが、証明書の有効期間が短くなるということは更新頻度も増えるということです。
現在の料金と最短47日になった場合の料金について比較しました。
| 398日更新のコスト | 47日更新のコスト(年7回更新) | 差額 | |
|---|---|---|---|
| FQDNドメイン | 15 USD(発行のみ) | 120 USD(発行+7回更新) | 105 USD |
| ワイルドカード | 149 USD(発行のみ) | 1,192 USD(発行+7回更新) | 1043 USD |
有効期間が47日になった場合、現在のコストと比較して8倍となります...
ただし、この点についてはブログでも言及されている通り価格体系も適宜調整されるようですので、今後のAWSからのアナウンスを待ちましょう。
※「we plan to adjust our pricing structure accordingly」の部分が該当
何かできることはあるのか?
更新について
更新については、有効期間が47日になった場合おそらく毎月更新する必要が出てきます。
その場合、手動更新は手間がかかってしまうので、できる限り自動更新を利用していきましょう。
料金について
ワイルドカードとFQDNドメインを適切に使いましょう。
例えば、現在ワイルドカードの証明書を使っているが、実際カバーしているFQDNドメインが3つしかない場合、FQDNドメインの証明書を個別に発行した方がワイルドカードよりも安くなります。
適切な証明書の利用がコストの削減につながります。
ワイルドカードの証明書
- 149 USD × 1 × 8回(発行+7回更新) = 1,192 USD
FQDNドメインの証明書(3つ発行)
- 15 USD × 3 × 8回(発行+7回更新) = 360 USD
さいごに
今回TLS証明書の有効期間短縮について確認してきましたが、いかがだったでしょうか。
そんなの知ってるよ!という方もいるかもしれませんが、知らない方にとっては驚く内容だったと思います。
この記事を通して、今後こんなことがあるんだな〜と認識してもらえたらと思います。
※ 今回の記事は2025年9月4日までに出ている情報を元に、一部執筆者の考えを交えて執筆しています。
AWSからの公式アナウンスによって今後内容が変更となることもありますので、あくまで参考情報として認識してください。
内容に対する誤りなどがありましたら、ご連絡をお願いいたします。
kento.takizawa(記事一覧)
妻と娘をこよなく愛すエンジニア
