SSL証明書を正しく更新するには？ 有効期限切れを防ぐための対策

SSL証明書は、Webサイトを運営する上で信頼性を高めるために欠かせないものです。SSL証明書には必ず有効期限が設定されおり、有効期限が切れてしまうとさまざまな問題が発生します。そのため、有効期限切れが起きないような対策を行い、正しく更新する必要があります。 本記事では、SSL証明書の有効期限と切れてしまった場合に起こること、更新に必要な手続き、注意点などについて解説しますので、ぜひ参考にしてください。

SSL証明書の有効期限とは

SSL証明書には、主に2つの役割があります。Webサイトの運営者に偽りがないことを証明すること、ブラウザ・サーバー間でやりとりされる情報を暗号化することの2つです。インターネット上でのセキュリティ意識が高まる近年では、SSL証明書が適用されていないサイトは信頼性がないと判断され、ビジネスチャンスを損失することにもなりかねません。

また、SSL証明書には必ず有効期限が設定されています。その理由は外部から内容を解読されて悪用される機会を減らしたり、証明書に含まれる情報を更新したりするためです。

SSL証明書の有効期限については、DigiCertやGlobalSignなどの認証局（CA：Certificate Authority）と、GoogleやApple、MozillaなどのWebブラウザの開発ベンダーが参加する「CA/Browserフォーラム」にて決定されます。

セキュリティを重視するブラウザ側の意向も強く影響し、安全性を高めるため証明書の有効期限は年々短くなってきており、2020年9月1日以降は最大でも有効期限が398日(約13ヶ月)になっています。

2023年3月に行われたCA/Browserフォーラムの会議の後、GoogleはSSL証明書の最大有効期間を90日に短縮する方針を発表しています。この変更が実際にいつから行われるのかは定かではありませんが、近い将来適用される可能性があります。その場合、1年間に4度もSSL証明書の更新が必要になるため、作業負荷の増大が懸念されています。

SSL証明書の有効期限が切れた場合に起こること

では、SSL証明書の有効期限が切れるとどのようなことが起きるのでしょうか。

サイトが閲覧できなくなる

有効期限切れのSSL証明書を使用しているサイトは、ブラウザ上で「安全ではありません」「プライバシーが保護されません」という警告表示が出され、サイトが閲覧できなくなります。

一般的なエラーの場合は事前に設定したエラー画面を表示したり、そのサイトのトップページに戻ったりできますが、SSL証明書の有効期限切れの場合はそもそもサイトへのアクセス前に警告されるためそうしたこともできません。そのため、利用者の不安を煽ってしまう可能性があります。

SEO評価に悪い影響がある

サイトに接続できないことで訪問者数は減少し、検索エンジンも事態を察知するためSEO評価が下がり、検索順位が下がってしまいます。Googleからは「SSL化をしていないWebサイトは検索順位が下がる」というアナウンスもされているため、これまで積み重ねてきたSEO評価が下落する可能性があります。

SSL証明書の有効期限を確認する方法

現在適用されているSSL証明書の有効期限は、ブラウザから確認できます。

Google Chromeの場合、対象のWebサイトへアクセスし、ブラウザのアドレスバー右側の設定マークをクリックします。小窓が表示されたら「この接続は保護されています」を選択し、次に「証明書は有効です」を選択すると、SSL証明書の有効期限をはじめとする詳細を確認できます。

SSL証明書の更新方法

SSL証明書の更新タイミング

有効期限が迫っている場合、SSL証明書の更新を行う必要があります。一般的にSSL証明書の更新は90日〜30日前から更新することができます。

更新申込み時点での残り有効期間の扱いや、新規発行日のタイミングなどはSSL証明書の認証局によって異なるため注意が必要です。

参考：
Digicert「SSL/TLSサーバ証明書の有効期間設定について」https://knowledge.digicert.com/ja/jp/solution/SO22917

Cybertrust「証明書の更新はいつ行えばよいですか？」https://www.cybertrust.co.jp/sureserver/support/faq/4yk73iy9k9un.html

GlobalSign「更新お申し込みガイド」https://jp.globalsign.com/ssl-shop/renew-order/

セコムトラストシステムズ「よくあるお問い合わせ」＞更新・再発行・失効・担当者変更について　https://www.secomtrust.net/service/pfw/support/faq_common.html

JPDirect「JPRSサーバー証明書を更新する」https://jpdirect.jp/ssl/issue-renew/

SSL証明書の更新手順

SSL証明書の更新手順は以下のとおりです。

1. CSRの作成

CSR（Certificate Signing Request）とは、認証局に対してSSLサーバ証明書への署名を申請するものです。CSRには「公開鍵」とその所有者情報、申請者が対応する「秘密鍵」を持っていることを示すために申請者の署名を記載します。

新規取得時に利用したCSRを使用することもできますが、最新情報へ更新するため、更新の度に新たにCSRを作成することが推奨されています。

2. 認証局への申請

SSL証明書は第三者機関である「認証局」から、申請者がサイトの正当な所有者であることを証明する認証を受けて発行してもらう必要があります。新規発行時と同様に、更新の場合でも認証局への申請が必要です。

3. 認証作業

認証局やSSL証明書の認証の種類（ドメイン認証／組織認証／EV認証など）によって内容は異なりますが、承認のための手続きを行います。たとえば、認証局から送付されたメールに記載されたURLにアクセスして手続きを行う、認証局からの電話に対応するなどです。

4. SSL証明書のインストール

認証局からSSL証明書が発行されたら、サーバーへインストールします。SSL証明書だけでなく、併せて発行された中間証明書もインストールする必要があります。

SSL証明書の有効期限切れを防ぐための対策

SSL証明書の有効期限切れによるトラブルを防ぐためには、以下のような対策がおすすめです。

スケジュール登録

シンプルな対策として、スケジューラーなどにSSL証明書の有効期限を登録し、リマインドされるようにしておきます。

更新は有効期限の90日前からできるところが多いため、有効期限ギリギリではなく、余裕を持って設定することがポイントです。認証局によって異なりますが、早めに更新しても更新前の有効期限は引き継ぐことができる場合があります。

また、自分のスケジュールだけでなくグループなど共有の予定に登録しておけば、急な部署異動などが発生しても引き継ぎ忘れなどが起こりにくいため安心です。

メールでの管理

多くの認証局では、利用者に対して有効期限が切れる前にお知らせするメールを何度か送付します。そのため、日頃からメールをきちんとチェックする習慣をつけ、メールを確認した時点で更新作業を進めると良いでしょう。

SSL証明書の発行には時間がかかることを認識しておく

SSL証明書の種類によっては、申請を行ってから発行されるまでに時間がかかることがあります。この期間を計算せずに期限ギリギリで手続きを行い、結果的に有効期限を過ぎてしまったというケースも多いです。

ほかにもCSRの作成で不備があった場合など、予想外に時間を取られる場合もあります。こうした事態を防ぐには、事前に余裕を持たせた必要期間を確認しておき、早めに更新作業を始めることが重要です。

リンク ベアメタルクラウドのSSL証明書マネージドサービス

前章で紹介したような対策方法は有効ですが、社内の人的リソースや更新に必要なノウハウの不足など、有効期限内での更新作業が難しい場合もあります。そんな時におすすめなのが、SSL証明書の更新作業を代行するサービスの利用です。

リンク ベアメタルクラウドのオプションサービスであるSSL証明書マネージドサービスは、利用者に代わってSSL証明書申請に必要なCSR作成・申請・インストール作業をワンストップで行います。
ドメイン認証型、組織認証型に加え、ワイルドカードにも対応しているため、目的に合わせて最適な証明書を選択できます。同一のコモンネームであれば、サーバー5台まで対応可能です。

SSL証明書マネージドサービスを利用することで、有効期限や更新作業を意識することなく、常時SSL化してWebサイトの安全性を高められます。

まとめ

Webサイトに適用しているSSL証明書の有効期限が切れた場合、サイトが閲覧できなくなる、SEO評価が下がるなどさまざまな悪影響があります。SSL証明書を適切に更新できるよう、今回紹介した対策やベアメタルクラウドを検討してみてはいかがでしょうか。