CA/ブラウザフォーラム、「証明書の有効期間を約1年に短縮化提案」を否決――しかし、今後実現化する可能性はある

ニュースソース:hashedout

2017年2月17日、CA/ブラウザフォーラム(CA/Browser Forum)は、すべてのSSL証明書の有効期間を最長13ヵ月に短縮するという、CABフォーラム投票185(CAB Forum Ballot 185)について協議と議決を行い、同月23日、最終結果は否決となりました。
以下は2017年2月20日に公開されたhashedoutブログの著者Vincent Lynch氏の見解CAB Forum Unlikely To Vote For 1 Year Certificate Ballotを要約したものです。


今回の議案は、GoogleのRyan Sleevi氏によって提案されました。現在、SSL証明書の最長有効期間は39ヵ月、EV SSL証明書は27ヵ月です。

メリットとデメリット
主な支持者はGoogleとMozillaです。一方、多くの認証局は、実現化は急進的過ぎるとの理由から反対しています。
もっとも、認証局とブラウザの多くは、証明書の有効期間が長いことにはリスクがあり、Web PKIシステムの改善を遅らせる要因であり、安全性を低下させるという点については同意しています。

証明書の有効期間を短縮することのメリットは、短期間でのシステムの改善を可能にし、多くのミス(証明書の誤発行や無権限の認証局)の影響を小さくし、CRL(証明書失効リスト)のパフォーマンスを向上させることなどです。
しかし証明書のユーザーには、ネットワークやWebサイトに数万規模の膨大な証明書をデプロイしている企業も多く、実現化にあたっては、現在使用されている環境やツールが証明書の毎年の自動更新に対応していない場合、技術上またコスト上の問題があります。
この議案が可決された場合、形式的な標準の採択から、暗号アルゴリズムの変更(SHA-2への移行のように)に至るまで、すべてに影響を与えることになります。

今後の実現化の見通し
今回の議案は否決されましたが、今後再び協議される可能性はあります。
CA/ブラウザフォーラムは、証明書の有効期間について、過去数年にわたり協議を重ねています。
極度に長期の有効期間の証明書は、セキュリティリスクと運用上の煩瑣な操作を増大させることが明らかになるにつれ、期間は短縮化される傾向にあります。
CA/ブラウザフォーラムが有効期間を5年から3年に短縮したのは、2014年のことです。

また、ブラウザは独自のポリシーを変更するのに、CA/ブラウザフォーラムの承認を得る必要はありません。独自のルートストア(トラストストア)の管理を通して、独自のルールを定めることが可能です。
GoogleのSleevi氏は、「この提案が可決に至らなかった場合の次のステップは、セキュリティのために、これらをブラウザプログラムの一部の変更として実施すること」であるとしています。