気をつけて!SSL証明書の有効期限をもう一度チェックしよう!
インターネットでは、悪意のある第三者がその気になれば、自分が閲覧しているホームページのURLや書き込んだコメントは特定されてしまいます。さらにはECサイトに登録したクレジットカード情報や、各種パスワードなども盗み出すことも可能で、インターネットは便利ながらも大変恐ろしい技術でもあります。
悪意のある第三者からの通信傍受を防止するため、Webサイトと、それを閲覧するユーザとのやり取りを暗号化し、個人情報やサイト上での行動を守るのがSSL通信です。「SSL証明書」は、そんなSSL通信を実現するために必要なものですが、みなさん有効期限には気を付けていますか?今回はSSL証明書の役割をおさらいし、有効期限切れを防止するための策をご紹介いたします。
目次
そもそもSSL証明書とは?
SSL証明書とは、サイト運営組織が実在していることを証明し、ブラウザとサーバー間(あるいはサーバー同士)でSSL/TLS暗号化通信を行うための電子証明書です。
SSL/TLS 証明書には、以下の2つの機能があります。
- サイトの実在証明:サイトの運営組織が実在し、ドメイン名の使用権があることを、サイバートラストが信頼される第三者機関として証明します。
- 暗号化通信:ブラウザとサーバー間で暗号化通信を行い、個人情報や銀行口座情報、クレジットカード情報などが第三者に盗み見られないようにします。
SSL証明書は信頼された認証局が発行するもので、有効期限があります。現在購入できる証明書は最長2年の有効期限が設定されており、期限切れとなる前に忘れずに更新が必要です。(2020年8月現在)
また、認証レベルの違う3種類の証明書がありますが、暗号化の機能や強度についてはどの種類を選んでもほとんど違いはありません。
- ドメイン認証(DV: Domain Validation)型:ドメイン使用権の有無のみを認証する方法。他の認証方式と比べて低価格で導入でき、即時取得も可能ですが、サイト運営団体の実在性については審査対象ではありません。フィッシング詐欺対策には不十分です。
- 企業認証(OV: Organization Validation)型:ドメイン使用権の有無に加え、サイト運営団体の実在性についても審査されます。高い信頼性を実現した方法です。
- EV(Extended Validation)型:ドメイン使用権の有無に加え、「EVガイドライン」をもとにサイト運営団体の実在性を厳しく審査していきます。3種類の中でもっとも信頼性が高いSSL証明書です。
SSL証明書の有効期限が切れるとどうなるの?
Webサイトに利用しているSSL証明書の有効期限が切れてしまうと、単純にサイトが閲覧できなくなってしまいます。Webサイトへの一時的なアクセス集中や、プログラミングのミス、サーバーの問題が原因でWebサイトが表示できない場合には、それらが原因で見られないと分かるエラー画面が表示されることが多いですが、有効期限切れの場合はまた少し違ったエラー画面となります。
SSL証明書の有効期限切れ時は、「プライバシーが保護されていません」「安全な通信ではありません」などのエラー画面が表示され、それでもWebサイトを見るのかどうか、というのをユーザーに決めさせることになるのです。
SSL証明書の有効期限を確認し、ブラウザが有効期限切れを認識してアクセスを一時的にブロックするため、ブラウザごとにエラー画面も異なります。「プライバシーが保護されず、パスワードやクレジットカード情報が盗まれる可能性がある」というような内容のエラーメッセージが表示されることが多く、ほとんどのユーザーは「ならばこのWebサイトは見ないようにしよう」と引き返すことになるでしょう。
SSL証明書の有効期限が短縮される?
Apple社は、Webサイトユーザーのセキュリティを改善するための取り組みとして、SafariでのSSL証明書の有効期限を最大398日に短縮すると発表しました。
About upcoming limits on trusted certificates
また、Appleの決定に同意するかたちで、Google ChromeやMozilla FirefoxでもSSL証明書の有効期限を短縮するとしています。これにより、Safari、Google Chrome、Mozilla Firefoxでは、2020年9月1日以降に発行された「有効期間が399日以上」のSSL証明書は信頼されないものとして扱われることになるのです。
Safari、Google Chrome、Mozilla Firefoxは、スマートフォンでのシェア率が非常に高いブラウザです。これらを合算すると日本国内で約9割もの人が、これまでの最大有効期限2年のSSL証明書を利用しているWebサイトをスマホで見られなくなります。
SSL証明書の有効期限切れを防止する方法
SSL証明書が有効期限切れになると、Webサイトが正しく表示されず、ユーザーに不安な思いをさせてしまいます。必ず有効期限内に更新作業をしておきたいところですが、そのためには更新時期を明確にし、その時期を忘れないようにする工夫も重要です。次は、その方法や対策をご紹介していきます。
メールをしっかりと確認する
SSL証明書の販売サイトでは、発行時や期限切れの日付が近づいてきた際に、お知らせメールを送ってきます。そのメールの中には、有効期限がいつになるのかが明記されているケースがほとんどです。契約時のメールや、期限切れ間近に届くお知らせメールを活用して、更新作業を始めるようにしてみましょう。
このとき、販売サイトに登録するメールアドレスは、特定の担当者のものではなく、担当部署全体のメールアドレスなど、複数名で確認できるものにしておくことが望ましいです。担当者が退職したり変更になったりした時、SSL証明書の販売サイトの情報まできちんと更新できればいいですが、どうしてもこういった細かな部分は忘れられがちです。また、万が一SSL証明書更新作業の担当者がメールを見逃してしまっても、他にメールを見られるメンバーが声かけをしてあげることで、更新作業忘れを防止することができます。
他にも、有効期限切れのお知らせメールのタイトルや送信元アドレスなどに一定の法則性があるのなら、SSL証明書専用の受信トレイに自動的に振り分けてわかりやすくするのも手です。「専用の受信トレイを毎週○曜日に確認し、有効期限切れのお知らせが届いてきた際には次のような行動を取る」というように手順化しておけば、更新手続き忘れを防止できます。
ただしどんなに対策しても、たくさんのメールが届く人ほど、メールで有効期限をチェックするのは難しくなります。メールが届く頻度にあわせて、他にご紹介する方法も併用すると良いでしょう。
タスク管理ツールを使う
もし日頃から使っているタスク管理ツールやToDoリストがあるなら、これらのアプリに「SSL証明書の更新」というタスクを登録しておくのがおすすめです。
タスク管理ツールとは、業務上行うべき作業(タスク)をひとつひとつリストアップしていき、個人の仕事量の可視化や期日管理などを行うソフトウェアのことです。様々な製品がありますが、なかでもBacklogやTrelloといったツールが有名どころ。一度は名前を聞いたことがある方も多いのではないでしょうか。
タスク管理ツールには、紙や付箋に書いたメモで仕事を管理するよう方法にはないメリットがたくさんあります。なかでも、SSL証明書の有効期限切れを防ぐ方法としてタスク管理ツールが有効な理由は、多くのツールが有している「リマインダー機能」にあります。タスクの締め切りが近付いてくると、ツール側から自動で通知やリマインドメールが送られてくるため、非常に便利です。
特に、そのタスク管理ツールを日頃から使っているのであれば、ダッシュボードなどで期日の近いタスクが順番に表示されてきたり、自分が担当するすべてのタスクを一覧表示で確認できたりするため、普段の業務に埋もれて忘れられがちなSSL証明書の更新を、重要タスクとして視認しやすくなります。普段使っているタスク管理ツールやToDoリストがある場合は、ぜひSSL証明書関連のタスクも登録するようにしてみてはいかがでしょうか。
証明書発行までの日数を把握する
SSL証明書は、即時発行できるものから、発行までに2〜3週間程度の日数を要するものまで、様々あります。利用している証明書の更新手続きにはどのくらいの時間が必要なのかをあらかじめ調査しておき、余裕を持って更新手続きが行えるように準備が必要です。
発行までに必要な時間はSSL証明書の販売サイトに掲載されていることが多いため、サポートセンターの営業日と合わせて調べておくようにしましょう。所要日数などが記載されているページが見当たらなければ、サポートに問い合わせてください。
SSL証明書の種類別に見ると、DV証明書は即時発行可能なものが多く、OV・EV証明書を選んだ場合は審査に時間を必要とします。SSL証明書の更新に関する手続き自体は、期限切れの数ヶ月前から受付しているケースがほとんどなので、受付開始直後から動き出せば心配はありません。
また、万が一「有効期限切れでWebサイトが表示されなくなってしまった」なんて問題が起きてしまった場合は、即時発行できるDV証明書を利用して一時的に対処することも可能です。期限内に更新手続きを終わらせられるよう、所要日数は把握しておくようにしましょう。
自動更新できるSSL証明書を導入する
SSL証明書の中では、自動更新機能を提供しているものもあります。特にレンタルサーバーの無料SSLを利用している場合は、最初に設定しておけば自動的にSSL証明書の更新をしてくれるケースが多いため、有効期限を把握する必要すらありません。自動更新するのが一番楽な方法ですが、注意すべき点もあります。それが更新エラーです。
更新エラーの理由には、以下のようなものがあります。
- 何らかの理由によりドメインがサーバとの疎通が取れなくなり、更新申請時にエラーとなってしまう
- SSL証明書の発行枚数制限にひっかかっている
- サーバーに障害が発生している
- 認証局側で何らかのエラーが発生して更新できなくなっている
更新エラーが出てしまうと、処理がストップしてしまい、手動で更新手続きを行う必要が出てきます。こういった場合にはサーバー側からメールなどで連絡が来るので、SSL証明書の自動更新エラーに関するメールが届いた時は、放置せず適切な段取りで作業するようにしましょう。
有効期限の監視サービスを利用する
SSL証明書の有効期限をチェックし、期限切れになる前にお知らせメールやメッセージを送ってくれたり、タスク管理ツールに登録してくれたりする「監視サービス」もあります。
前述した「メールをしっかりと確認する」という手法と同じように、SSL証明書の有効期限そのものをチェックして通知を送る仕組みなので、日付の登録間違いが起こらないのが利点です。
また、SSL証明書の販売サイトからは基本的にメールでの通知のみですが、こちらの監視サービスを使う場合は、メール以外の方法でも管理できるのが特徴です。監視サービスの場合、多くが外部のツールとも連携できるように設計されているためです。
たとえば、
- Slackやチャットワークなどのビジネスチャットツールに、期限切れを知らせるメッセージを送ってくれる
- Backlogなどのタスク管理ツールに「SSL証明書の更新」のタスクを登録してくれる
- JIRAなどのプロジェクト管理ツールに自動的に「SSL証明書の更新」のチケットを発行してくれる
など、外部ツールを活用した運用が可能です。
ビジネスチャットツールやタスク管理ツールなど、メール以外の連絡手法がメインになっている場合、監視サービスを活用し、利用頻度の高いツールにとばすようにした方が、より忘れずに更新作業ができるでしょう。
担当者の変更はこまめに反映する
SSL証明書の有効期限切れを招く要因のひとつに、「担当者が退職や異動でいなくなり、空席になっていた」というものがあります。SSL証明書の更新作業は、業務としては限定的で小さすぎて、誰が担当者だったのか曖昧になり、そのうち忘れ去られてしまう傾向にあります。とはいえ、忘れているとWebサイトが見られないという大問題を引き起こすため、日頃から担当者を明確にし、もし変わった場合は都度しっかりと変更手続きをしていくことが必要です。
もしSSL証明書の販売サイトに登録しているメールアドレスが、会社や部署などのものではなく、担当者個別に与えられているものならば、忘れずに新しい担当者のメールアドレスに変更しましょう。
しかしベストな方法は、前述の通り「部署のメールアドレスなど、複数名で共有しているメールアドレスを登録すること」です。複数名で共有するアドレスを登録しておけば、多くの目に触れるため有効期限切れを防ぎやすくなりますし、このように担当者が変更になった場合でもメールアドレスの変更作業をせずに済みます。また、これまでに紹介した方法も併用して有効期限切れ防止策を講じている場合にも注意が必要です。
たとえばタスク管理ツールに「SSL証明書の更新」というタスクをつくり、担当者を登録していたとします。担当者が変更されたあと、そのタスクの担当者を新しい担当者に変更しておかないと、期限間近の通知やメールが新しい担当者に届きません。旧担当者のもとに通知が届くか、旧担当者のアカウントが削除している場合は通知が発生しないこともあります。せっかくの機能が無駄になってしまうため、忘れずに変更作業することが大切です。SSL証明書更新の担当者が変わった場合は、関連するサービスやツールの担当者も変更するように心がけておきましょう。
まとめ
SSL証明書には有効期限があり、更新を忘れてしまうとWebサイトが見られなくなり、ユーザーに不安な思いをさせるなどの問題が起こります。 これまでは最長2年間の有効期限が設けられていましたが、Appleが提供するブラウザ「Safari」で「2020年9月から、SSL証明書の有効期間を398日までに短縮する」ことが決定されました。これに続くかたちで、Google Chrome、Mozilla Firefoxも同様に短縮することを発表しています。日本国内では、9割もの人々がスマホでネットサーフィンをする際にSafariかGoogle Chromeを利用しています。SSL証明書は今後、有効期間が398日以内のものを購入していくべきでしょう。
SSL証明書の有効期限切れを防ぐには、メールをこまめに確認したり、タスク管理ツールや監視サービスを使ってリマインド通知を送るようにしたりといった対策が有効です。また、SSL証明書の発行までに必要な時間を把握しておき、余裕をもって行動するようにしましょう。