Cloudflareコラム | サーバ証明書の有効期間短縮時代に備える

今年の大きなトピックの一つとして、「サーバ証明書の有効期間短縮」が挙げられます。現在進行中のこの取り組みにより、サーバ証明書の最長有効期間は、従来の398日から段階的に短縮され、最終的には約47日まで短命化される見込みです。
この変化が意味するのは、証明書更新作業が「年1回」から「数週間に1回」へと激増するという現実です。更新作業の増加は、運用負荷の増大だけでなく、更新忘れによるサービス停止といったビジネスリスクにも直結します。今後、証明書管理および更新の自動化は、もはや「選択肢」ではなく「必須要件」へと変わっていきます。

過去のコラムでは「CloudflareでSSL証明書を購入するメリット」について解説しましたが、今回はCloudflareで 「利用できる証明書の種類」 と 「自動更新が可能な証明書」 について整理して紹介します。

SSL/TLS証明書タイプと主な用途

まずは、SSL/TLS証明書の代表的なタイプを整理します。

Cloudflareで利用できるエッジ証明書

Cloudflareでは、以下の証明書を利用できます。

✓Cloudflareが無料で提供するUniversal SSL証明書

✓Cloudflare有料オプションのACM（Advanced Certificate Manager）証明書

✓お客様自身で用意した証明書を持ち込むカスタム証明書

それぞれの特徴は以下通りです。

※1 Cloudflareが提供する証明書はDV証明書のみです。OVやEV証明書が必須の場合は、カスタム証明書の持ち込みが必要です。

※2 Enterprise契約では、Custom Modern証明書1枚、Custom Legacy証明書1枚まで無料で利用可能です。

Cloudflare証明書を使う最大のメリットは「自動更新」

多くのWebサイトやAPIではDV証明書で十分なケースが多く、
「いかに安全に、手間なく運用できるか」 が選定ポイントになる時代です。

Cloudflare証明書を利用することで以下の問題を解決できます。

✓有効期間短縮により、証明書更新頻度は年1回 → 最大年8回（有効期間47日の場合） に増加

✓自動更新に対応したCloudflare証明書を利用することで、煩雑な更新作業を意識する必要がなくなる

✓ 証明書切れや更新忘れによるサービス障害のリスクを限りなくゼロに

また、表では紹介しきれなかったUniversal SSL と ACM の特徴として、以下の点も挙げられます。

無料で使える「Universal SSL」

• フルセットアップの場合
  ネイキッドドメインおよび1階層分まで対応　（例：mydomain.com、*.mydomain.com）
• CNAMEセットアップの場合
  FQDNごとに証明書が作成されます。

　　※参考：Cloudflareセットアップモードについて　DNS setups · Cloudflare DNS docs

より柔軟に管理できる「ACM」

• ゾーンごとに最大100枚の証明書を作成可能
• 1証明書あたり最大50個のSANを設定可能
• TLSバージョンやCipher Suiteの細かな制御

　など、中〜大規模サイトや複数ドメイン運用に向いた機能が提供されます。

まとめ

証明書の有効期間短縮により、従来の手動更新運用は限界を迎えています。自動更新機能の活用が運用リスク低減の鍵です。Cloudflareで提供される証明書はDV証明書が中心で、OV／EVが必須な場合は、カスタム証明書の持ち込みが必要ですが、Cloudflareが提供する証明書で要件を満たせる場合は、運用負荷やリスクを抑えるためにも、早めにCloudflare証明書への移行を検討することをお勧めします。

執筆者：
三井情報株式会社
ソリューション技術グループ ソリューション第二技術本部　インフラ第一技術部第二技術室