Knowledge Base

TLS証明書ライフサイクルプロセスを自動化するもう一つの理由
 

TLS証明書失効：理由とタイムライン

デジタルセキュリティの業界では、認証局（CA）がTLS証明書を失効させ交換の必要が生じる場合があります。失効は、例えば OpenSSLライブラリ におけるHeartbleedのような業界全体に影響を及ぼす脆弱性により、証明書が安全な接続を提供できなくなり、ユーザーを保護するために失効させる必要がある場合に発生します。その他の失効のきっかけとしては、TLS証明書またはCA自体のコンプライアンス問題などが挙げられます。 

失効が発生した場合、CAは「公的に信頼されたTLSサーバ証明書の発行および管理に関する基本要件」のセクション4.9.1.1「加入者証明書を失効させる理由」に記載されている業界ガイドラインに従う必要があります。これらの要件は、失効の状況と期限を定義しています。状況によっては、24時間以内に証明書を失効させる必要がありますが、最大5日以内の失効が認められる場合もあります。CAは、単一の証明書または大量の証明書の失効のいずれのケースでも、期限を守る義務があります。

24-hour revocation

Baseline Requirements では、以下の場合に 24 時間の失効が必要であると規定されています:  
1) サイト所有者が要求した場合 
2) 証明書が適切な承認なしに発行された場合 
3) 秘密鍵の盗難、侵害、またはクラックされた場合 
4) CA が所有者のドメイン管理権限を確認できなくなった場合

5-day revocation

Baseline Requirements では、5日以内に失効しなければならない理由も別途規定されており、証明書またはCA自体のコンプライアンス問題など、様々なケースが挙げられます。

例としては、証明書の不適切または不正な使用、ウェブサイト所有者とCA間の契約不履行、ウェブサイト所有者によるドメイン使用の法的権利の喪失、証明書情報の誤り、証明書の不適切な発行、セキュリティキーの欠陥による脆弱性などが挙げられます。 
 

失効の影響を軽減するにはどうすればよいでしょうか?

失効への備えは、日々のチェックリストの最優先事項ではないかもしれませんが、いくつかの予防策を講じておくことで、万が一失効が発生した場合でも効果的に対応できるようになります。この準備が、大きなインパクトのある失効による混乱を完全に排除することはできませんが、必要なタイムラインを満たす可能性が高まります。 

失効に備えることにより長期的なプラス効果ももたらし、日々のTLS証明書ライフサイクル管理を容易にし、将来の業界の変化への備えとなります。例えば、Baseline Requirements では、TLS証明書の最大有効期間は段階的に短縮されます。最初は398日から200日、次に100日、そして最終的にはわずか47日です。これらの変更により、組織はより頻繁に、そして期限通りに証明書を交換する必要があります。証明書有効期間の短縮について詳しくは、こちらをご覧ください。

失効イベントからの保護対策

• システムが証明書の失効と再発行を迅速かつ中断なく処理できることを確認してください。
• 証明書インベントリを定期的に確認し、保有している証明書の数と使用場所を把握してください。
• 迅速な対応と準備を可能にするために、証明書ライフサイクルプロセスの自動化を実装してください。

自動化ソリューションをお探しですか?

DigiCertは、Trust Lifecycle ManagerとCertCentralを通じて、ACMEのサポートを含む複数の自動化ソリューションを提供しています。DigiCertのACMEは、DV、OV、EV TLS証明書の自動化を可能にし、ACME更新情報（ARI）のサポートも含まれています。

パブリックに信頼されたTLSサーバー証明書は、タイムリーな失効を許容できないシステムでは使用しないでください。DigiCertは、このようなユースケースに適した、プライベートに信頼されたTLSサーバー証明書ソリューションも提供しています。