原文: https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/
2025 年の六日間および IP アドレス証明書オプションの発表#
2025 年 1 月 16 日・Josh Aas
今年、私たちは Web PKI のセキュリティ向上の約束を引き続き果たし、有効期限が六日間の証明書(「短期証明書」)を取得するオプションを導入します。ドメイン名に加えて、IP アドレスのサポートも追加します。私たちの長期証明書(現在の有効期限は 90 日)は、六日間の証明書と共に提供され続けます。サブスクライバーは、私たちの ACME API に追加された証明書プロファイルメカニズムを通じて短期証明書を選択できるようになります。
証明書の有効期限を短縮することがセキュリティに寄与する#
証明書に関連付けられた秘密鍵が漏洩した場合、証明書を常に取り消すことが推奨されます。そうすることで、人々はそれを使用しないように知ることができます。不幸なことに、証明書の取り消しは効果的ではありません。これは、鍵が漏洩した(または他の問題がある)証明書が、期限切れになるまで使用され続ける可能性があることを意味します。証明書の有効期限が長いほど、問題のある証明書が使用される可能性が高くなります。
短期証明書の主な利点は、潜在的な侵入ウィンドウを大幅に短縮できることです。なぜなら、それらの有効期限が比較的短いためです。これにより、証明書の取り消しの必要性が減少しますが、証明書の取り消しは歴史的に信頼性がありません。私たちの六日間の証明書には、OCSP または CRL URL は含まれません。さらに、短期証明書は実際に自動化を必要とし、自動化された証明書発行がセキュリティにとって非常に重要であると考えています。
IP アドレスのサポート、他の使用ケースのセキュリティを確保#
私たちは、IP アドレスを主題の代替名として六日間の証明書に組み込むことをサポートします。これにより、パブリックに信頼された証明書を使用して、IP アドレスを介して提供されるサービスとの間で安全な TLS 接続を確立できるようになります。
IP アドレスの検証は、ドメイン名の検証と大まかに同じように機能しますが、検証は http-01 および tls-alpn-01 チャレンジタイプに制限されます。dns-01 チャレンジタイプは、DNS が IP アドレスの検証に関与しないため、利用できません。さらに、IP アドレスの CAA レコードをチェックするメカニズムはありません。
タイムライン#
私たちは、今年の 2 月に最初の有効な短期証明書を自己発行する予定です。約 4 月には、少数の早期採用者向けに短期証明書を有効にします。2025 年末までには、短期証明書を全面的に展開したいと考えています。
私たちが発行する最初の短期証明書は IP アドレスをサポートしない可能性がありますが、短期証明書が一般的に利用可能になったときに IP アドレスのサポートを有効にする予定です。
六日間証明書および IP アドレス証明書の取得方法#
短期証明書が選択肢となった場合、ACME 証明書プロファイルをサポートする ACME クライアントを使用し、短期証明書プロファイルを選択する必要があります(その名称は後で発表されます)。
IP アドレスのサポートが選択肢となった場合、証明書に IP アドレスをリクエストすると、自動的に短期証明書プロファイルが選択されます。
未来を見据えて#
短期証明書を最大限に活用するための最良の方法は、ACME クライアントが自動化された方法で信頼性高く証明書を更新できるようにすることです。すべてが順調に進めば、短期証明書への切り替えにはコストがかからないはずです。
私たちの計画について質問や意見がある場合は、ぜひコミュニティフォーラムでお知らせください。
より安全でプライバシーを尊重するインターネットをサポートします。
寄付
Let's Encrypt は、非営利のインターネットセキュリティ研究グループ(ISRG)によって提供される無料、自動化、オープンな証明書発行機関です。私たちの 2024 年の年次報告書をお読みいただき、今年の非営利活動についてご確認ください。
548 Market St, PMB 77519, サンフランシスコ,CA 94104-5401, アメリカ合衆国
すべての郵便物または問い合わせは以下に送付してください:
PO Box 18666, ミネアポリス,MN 55418-0666, アメリカ合衆国