全1363文字
PR

 ほとんどのWebサイトはTLSという技術を利用して安全なWebアクセスを実現している。TLSを利用するWebサイトのURLは「https://」で始まる。TLSではサーバーの認証や通信の暗号化、改ざんの検知を行う。

 TLSを利用するにはサーバー証明書が必要だ。この証明書には有効期間があり、失効すると図1の「事故3」で示したようにWebブラウザーは警告を表示し、Webサイトを表示しない。このセキュリティー事故は2020年夏に頻発した。頻発した原因と警告が表示される仕組み、防止策を見ていこう。

失効は今後増える可能性あり

 2018年7月以降主要なWebブラウザーは、TLSに対応していないWebサイトにアクセスすると警告を表示するようになった。このため、2018年に多くのWebサイトがTLSに対応した。

 サーバー証明書の有効期間は当時、最長2年間だった。このため、2020年夏に失効が原因のセキュリティー事故が増えたとみられる。

 有効期間は2020年8月以降、2年間から1年間(最長397日間)に短縮された(図7)。更新頻度が頻繁になるため、今後はさらにセキュリティー事故が増える可能性がある。

図7●サーバー証明書の更新スケジュール
図7●サーバー証明書の更新スケジュール
サーバー証明書は期限がくれば失効する。多くの認証局は、新規で発行するサーバー証明書の有効期間を2020年8月以降、それまでの最長2年間から1年間に短縮した。更新手続きは期限の89日前から可能。残った有効期間は新しい証明書に追加される。ただし最長397日間という制限があるため、追加されるのは最長で32日。
[画像のクリックで拡大表示]