Let’s Encrypt: なぜ証明書が90日間なのですか?

以下は、ISRG Executive DirectorのJosh Aasが書いたLet’s Encrypt公式ブログの記事「Why ninety-day lifetimes for certificates?」を訳したものです。

この翻訳は参考訳であり、内容の正確性等の保証はできませんが、誤字脱字誤訳等に気づかれましたらコメントで教えていただけると幸いです。


なぜ90日間の証明書しか提供しないのかということをよく聞かれることがあります。こういった質問をする人の多くは90日が短すぎるのではないかと心配し、私達が、他のCAのように、1年やそれ以上有効な証明書を発行することを要望しています。

90日というのはウェブの世界では別に新しいものではありません。Firefox Telemetryによると、TLSでのトランザクションの29%は90日間の証明書を利用しており、これは他の有効期間よりも多数を占めています。私達の考えでは、このような短い証明書の有効期間には2つの主要な利点があります:

  1. 鍵の改ざんや誤発行の被害を最小化することが可能です。奪取された鍵や誤発行された証明書は極めて短い期間のみ有効となります。
  2. 使いやすさのためには絶対的に不可欠な、自動化を促進します。ウェブ全体をHTTPSに移行するのであれば、システム管理者に手作業で更新を行うことは要求できません。ひとたび、発行と更新が自動化されてしまえば、短い有効期間は長いものに比べて全く不便とはならないでしょう。

これらの理由から、私達は90日より長い有効期間の証明書を提供しません。このサービスが若く、自動化が申し込みをいただいた皆様の大半にとって新しいものであることを自覚していますので、必要であれば手動での更新を行っても十分な時間の確保できる有効期間を選びました。皆様には60日ごとに更新を行うことを推奨します。ひとたび、自動化された更新ツールが広くデプロイされて正常に機能するようになれば、より短い有効期間を検討することもあり得ます。

One Reply to “Let’s Encrypt: なぜ証明書が90日間なのですか?”

コメントを残す