Webサイトの「鍵マーク」が毎月更新される時代へ。SSL証明書の有効期間、1年から47日に短縮

インターネットを使っていると、ブラウザのアドレスバーに表示される「鍵マーク」を見たことがありますよね。あの鍵マークは、今見ているWebサイトとの通信が暗号化されていて安全ですよ、という印です。ネットショッピングをするときや、会員ログインするときなど、個人情報を入力する場面では必ず確認したい重要なマークです。

この鍵マークを支えている「SSL/TLSサーバー証明書」という仕組みが、2025年から2029年にかけて大きく変わることになりました。具体的には、証明書の有効期間が現在の約1年(398日)から、段階的に短縮され、最終的には47日になります。つまり、年に1回の更新作業が、年に7〜8回、ほぼ毎月の更新作業になるということです。

「え、そんなに頻繁に更新するの？」と思われるかもしれません。今日はこの変更について、一般ユーザーの目線で、わかりやすく解説したいと思います。

そもそもSSL証明書って何？

まず、SSL証明書(正確にはSSL/TLSサーバー証明書)について、簡単に説明しますね。

Webサイトにアクセスするとき、URLが「https://」で始まっていれば、そのサイトとの通信は暗号化されています。この暗号化を実現するために使われているのがSSL証明書です。SSL証明書には主に2つの役割があります。

1つ目は、「このWebサイトは本物ですよ」という証明です。例えば、銀行のWebサイトにアクセスしたとき、それが本当に銀行のサイトなのか、偽物のサイトなのかを見分けるために、信頼できる第三者機関(認証局と呼ばれます)が発行した証明書で確認できるようになっています。

2つ目は、通信の暗号化です。クレジットカード番号やパスワードなどの重要な情報が、途中で盗み見られないように暗号化して送受信する仕組みです。

このSSL証明書には有効期限があり、期限が切れると更新が必要になります。現在は約1年(398日)が一般的です。

何がどう変わるのか？

今回決まったのは、このSSL証明書の有効期間を段階的に短くしていくという方針です。具体的なスケジュールは以下の通りです。

• 2026年4月〜：最長200日(約6.5ヶ月)
• 2027年10月〜：最長100日(約3ヶ月)
• 2029年3月〜：最長47日(約1.5ヶ月)

つまり、2029年以降は、ほぼ毎月、証明書を更新しなければならなくなるということです。これを決めたのは、Google、Apple、Microsoft、Mozillaといった主要なブラウザを作っている会社で構成される業界団体です。

なぜそんなに短くするのか？

「なんでそんなに頻繁に更新させるの？面倒じゃない？」と思いますよね。実は、この変更には2つの重要な理由があります。

理由その1：セキュリティの向上

証明書の有効期間が長いともし証明書の秘密鍵が盗まれたり、暗号技術に欠陥が見つかったりしたときに、その証明書が使える期間も長くなってしまいます。つまり、悪用される期間が長くなるということです。

有効期間を短くすればたとえ問題が起きてもその証明書が使える期間は短いので、被害を最小限に抑えることができます。家の鍵を頻繁に変えるようなものですね。

理由その2：新技術への移行スピード

暗号技術は日々進化しています。より強力で安全な暗号方式が開発されたとき、インターネット全体をその新しい方式に切り替える必要があります。

でも、証明書の有効期間が1年だと全てのWebサイトが新しい方式に切り替わるまで、最低でも1年以上かかってしまいます。有効期間を短くすれば、インターネット全体を素早く最新の状態にアップデートできるようになります。

つまり、「より安全に」「より素早く」変化に対応できるインターネットを作るための変更なんです。

一般ユーザーへの影響は？

普通にインターネットを使っている一般ユーザーには、ほとんど影響がありません。

今まで通りWebサイトにアクセスして鍵マークが表示されていれば、そのサイトは安全に通信できているということです。証明書の有効期間が短くなってもそれは裏側の仕組みの話なので、ユーザー側で何か特別な操作をする必要はありません。

むしろ、セキュリティが向上するのでより安心してインターネットを使えるようになる、と考えていいでしょう。

Webサイト管理者への影響は大きい

一方で、Webサイトを運営している側、つまりサイト管理者にとっては、大きな変化になります。

従来は年に1回カレンダーに「証明書更新」とメモしておいてその時期が来たら手作業で更新する、という運用が可能でした。しかし、47日周期で更新するとなると、年に7〜8回も更新作業をすることになります。これを手作業でやるのは、ミスや漏れのリスクが高く現実的ではありません。

そのため、今回の変更は実質的に「証明書の自動更新」への移行を促すものになっています。サーバーが自動的に認証局と通信して、証明書を更新する仕組み(ACME:Automatic Certificate Management Environmentと呼ばれます)を導入することが、事実上必須になるということです。

自動化が進むとどうなるか

この変更によって、Webサイトの運営は、より「自動化」の方向に進んでいきます。

例えば、無料で使えるSSL証明書として人気の高い「Let’s Encrypt」は、すでに自動更新の仕組みを提供しています。大手のレンタルサーバーやクラウドサービス(AWS、Google Cloudなど)も、自動更新機能を標準で提供しています。

これらのサービスを使っていれば、サイト管理者は証明書の更新を意識する必要がほとんどなくなります。裏側で自動的に更新されるからです。

逆に言えば、今までのように「特定の認証局から1年分の証明書を購入して、手作業で設定する」という運用をしている場合は、2026年から2029年の間に自動化の仕組みに切り替える必要があります。

プロに任せる時代へ

今回の変更を一言でまとめると、「人間が頑張って管理する時代から、機械が自動で管理する時代へ」という流れです。

一般のビジネスでWebサイトを運営している場合、もし自社で証明書を手動管理しているなら、専門のIT企業やサーバー会社に相談して、自動化の仕組みに移行することをお勧めします。

私たちのようなIT企業もお客様のWebサイトについて、証明書の管理方法を見直し自動化していないサイトは自動化への対応を進めていく必要があります。2026年4月までまだ少し時間がありますから、計画的に対応していくことが大切ですね。

ちなみに、メール認証も廃止へ

今回の記事では詳しく触れませんが、証明書の発行時に行われる「本人確認」の方法も変わります。

これまでは「確認メールを受け取って、リンクをクリックする」という方法が使えましたが、これも段階的に廃止されることが決まっています。今後はDNS設定など、より技術的な方法での確認が主流になっていきます。

つまり、ますます「専門知識を持った人が対応する」方向に進んでいくということです。一般のビジネスユーザーは、信頼できるプロに任せるのが一番安心、ということになりそうです。

まとめ

Webサイトの安全性を支えるSSL証明書の有効期間が、2029年までに47日に短縮されます。これは、インターネットをより安全に、より素早く進化させるための変更です。

一般ユーザーには直接的な影響はありませんが、Webサイトを運営する側は、証明書の自動更新の仕組みに移行することが事実上必須になります。

「手動で管理していた時代から、自動化の時代へ」という大きな流れの中で、私たちIT業界も、しっかりと対応していかなければなりません。お客様のWebサイトが安全に安定して運営できるよう、計画的に準備を進めていきたいと思います(^^)