// シス担のミカタ
TLS・PKI・証明書

証明書の有効期限管理 しょうめいしょのゆうこうきげんかんり

SSL/TLS証明書PKI有効期限切れ自動更新Let's Encrypt証明書ライフサイクル
証明書の有効期限管理について教えて

簡単に言うとこんな感じ!

HTTPS通信に使うSSL/TLS証明書には「有効期限」があって、切れると突然サイトが”危険”扱いになるんだ。それを切らさないように監視・更新し続けるのが有効期限管理だよ!パスポートの更新みたいなもので、うっかり忘れるとシステム止まりかねない超重要作業なんだ。

証明書の有効期限管理とは

SSL/TLS証明書(ウェブサイトの”身分証明書”)には発行日から数えた有効期間が設定されており、期限を過ぎるとブラウザが警告を表示したり、API通信が遮断されたりする。この「期限が来る前に更新し、失効しないよう管理し続ける」運用プロセス全体を「証明書の有効期限管理」と呼ぶ。

単に「期限前に更新すればよい」という話ではなく、どこに何枚の証明書があるかの台帳管理期限切れアラートの仕組み更新作業の自動化更新後の正しい配備確認まで含めた包括的な運用管理を指す。大規模なシステムでは証明書が数十〜数百枚に及ぶことも珍しくなく、手動管理の限界から自動更新(ACME プロトコルなど)の普及が進んでいる。

近年では証明書の有効期間が短縮傾向にあり、2025年以降は主要ブラウザの方針として最大47日まで短縮する動きもある。有効期限管理は「たまにやる作業」から「常時回る自動化の仕組み」へと変化しつつある。

証明書ライフサイクルの全体像

証明書は発行から廃棄まで以下のサイクルを繰り返す。

フェーズ内容担当・ツール例
棚卸し・台帳登録組織内の証明書を一覧化し、ドメイン・期限・発行者を記録スプレッドシート / CLM ツール
監視・アラート期限の N 日前にメール・Slack 等で通知Datadog / Zabbix / Let’s Encrypt
更新申請CSR(証明書署名要求)を作り、CA認証局)に提出certbot / ACME クライアント
配備・反映新証明書をサーバーやロードバランサーに設置Ansible / Terraform / AWS ACM
検証本当に新証明書が有効になったか確認curl / openssl コマンド
旧証明書の失効不要になった旧証明書を CA に失効申請(任意)CA 管理コンソール

🔑 「期限の何日前に動くか」が鍵

有効期間が短い証明書ほど、アラートのリードタイムを短く設定する必要がある。一般的な目安は以下の通り。

証明書の有効期間アラート開始の目安
1年(365日)60〜90日前
90日(Let’s Encrypt)30日前(自動更新なら問題なし)
47日(将来の主流)14〜21日前 + 自動化必須

📝 覚え方:「切れる前に・気づいて・切り替える」

「き・き・き」の3ステップで管理!切れる前に(監視)→ 気づいて(アラート)→ 切り替える(更新・配備)。この流れを自動化するのが証明書管理の理想形だよ。

歴史と背景

  • 2000年代前半:証明書の有効期間は最大10年が許容されていた。更新頻度が低く、手動管理でも対応可能だった
  • 2012年:CA/Browser Forum(主要 CA とブラウザベンダーの業界団体)が最大5年に短縮を決定
  • 2015年:最大3年に短縮。企業の証明書管理コストが増加し始める
  • 2016年Let’s Encrypt が無料・90日証明書の提供を開始。ACME プロトコルによる自動更新が普及するきっかけとなる
  • 2020年:Apple Safari が最大398日(約13ヶ月)超の証明書を信頼しないと発表。業界全体が事実上1年以下に統一
  • 2023〜2024年:Google・Apple が段階的に90日→47日への短縮ロードマップを発表。自動更新が「推奨」から「必須」の時代へ
  • 2025年以降:CA/Browser Forum でも短期証明書標準化の議論が進行中

手動管理 vs 自動管理の比較

有効期限管理の方式は大きく「手動」と「自動」に分かれる。証明書枚数が増えるほど自動化の優位性が際立つ。

証明書管理の方式比較 🖐 手動管理 台帳:スプレッドシートで管理 → ヒューマンエラーのリスク大 アラート:カレンダーにリマインド → 担当者の異動で抜け漏れ発生 更新:担当者が手作業でCSR作成 → 数日〜数週間かかる場合も 配備:サーバーにSSH接続して設置 → 設定ミスのリスクあり ⚠ 証明書枚数が増えると 管理限界を超えやすい 期限切れ事故リスク:高 🤖 自動管理(ACME) 台帳:CLMツールが自動収集 → 常に最新状態を維持 アラート:監視ツールが自動検知 → 担当者に自動通知 更新:certbot等が自動で申請 → 数分で完了 配備:CI/CD パイプラインで自動反映 → ゼロタッチで完結 ✅ 証明書が何百枚でも スケールしやすい 期限切れ事故リスク:低 移行

主要な自動更新ツール・サービス

ツール/サービス特徴向いている環境
certbotLet’s Encrypt 公式 ACME クライアント。無料Linux サーバー / OSS 環境
AWS ACMAmazon が管理する証明書サービス。AWS 上では自動更新AWS(ALB・CloudFront 等)
Azure Key Vault証明書の保存・自動更新・配布を統合管理Azure 環境
Venafi / DigiCert CLMエンタープライズ向け証明書ライフサイクル管理ツール大規模組織・オンプレ混在

実務でよくある「うっかり失効」のパターン

証明書の期限切れは「知っていたのに忘れた」ケースが大半。以下は典型的な失敗パターンと対策。

【失敗パターン①】担当者異動による引き継ぎ漏れ
  更新担当者が退職 → 後任が証明書の存在を知らない → 気づいたら期限切れ
  ✅ 対策:証明書台帳をチームで共有、個人依存をなくす

【失敗パターン②】サブドメインの見落とし
  main.example.com は管理してたが
  api.example.com の証明書を台帳に載せていなかった
  ✅ 対策:ドメイン全体をスキャンする監視ツールを導入

【失敗パターン③】自動更新の失敗に気づかない
  certbot の cron が止まっていた → 更新されていないのに誰も知らない
  ✅ 対策:更新後に「成功ログ」を監視する二重チェックを設ける

【失敗パタート④】中間CA証明書の更新忘れ
  サーバー証明書は更新したが中間証明書を差し替えず
  一部の古いクライアントで検証エラーが発生
  ✅ 対策:チェーン全体(ルート〜中間〜サーバー)の確認を必須工程に

関連する規格・RFC

規格・RFC番号内容
RFC 8555ACME(Automatic Certificate Management Environment)プロトコルの仕様。certbot などが実装する自動更新の標準
RFC 5280X.509 証明書および CRL(証明書失効リスト)のプロファイル仕様。有効期限フィールド(notBefore / notAfter)の定義を含む
RFC 6960OCSP(Online Certificate Status Protocol)の仕様。証明書が失効していないかをリアルタイムに確認するプロトコル
RFC 7468PEM 形式(証明書ファイルの一般的な形式)のテキスト表現仕様

関連用語

  • SSL/TLS証明書 — HTTPS通信を支える「身分証明書」。有効期限管理の対象そのもの
  • PKI(公開鍵基盤) — 証明書を発行・管理する信頼の仕組み全体
  • 認証局(CA) — 証明書を発行する第三者機関。更新申請先
  • ACME プロトコル — 証明書の自動取得・更新を可能にするプロトコル(RFC 8555)
  • Let’s Encrypt — 無料・90日証明書を提供する公的認証局。自動更新の普及に貢献
  • OCSP — 証明書が現在も有効かをリアルタイム確認するプロトコル
  • CRL(証明書失効リスト) — 失効した証明書の一覧。有効期限前に無効化された証明書を管理する仕組み
  • X.509 — SSL/TLS証明書の標準フォーマット仕様。notBefore・notAfter フィールドで有効期限を定義