これはセキュリティ対策です。そのようなことが永遠に続くと、クラッカーが秘密裏に証明書を取得するための時間が長くなります。このようにして、証明書が実在の人物または他のエンティティによってまだ使用されていることを確認するための継続的なチェックがあります。
X.509証明書(誰もが話題にするSSL証明書ではなく、SSLは20年で無効になっており、証明書はTLSの外部で使用でき、TLSは証明書なしでも実行できます)は、さまざまな異なるエンティティを記述(認証)できます。ドメイン名、個人、組織、メール、IPアドレスなど.
また、さまざまな種類の検証メカニズム(DV、OV、EVなど)を通じて発行することもできます。
すべての場合において、所与のものの制御/存在(ドメインの制御、エンティティーまたは個人の存在など)は、時間の経過とともに変化します。したがって、物事を再検証することは理にかなっています。
lifetime.exampleドメイン名の証明書を取得したとします。しかし、そのドメイン名を他の誰かに譲渡します。または、更新するのを忘れています(したがって、他の誰でも登録できます)。または私は死ぬ。多くの場合、その時点で証明書の正当性が問われるべきいくつかの理由があり、したがって再発行する必要があります。さらに、以前の証明書には時間制限が必要です(既存の証明書を取り消すメカニズムはありますが、実際には十分に機能しません)。
これは実生活とまったく同じケースです。なぜ政府発行の身分証明書がすべて期限切れになるのですか?なぜパスポートや国民IDカードなどを5年または10年ごとにやり直す必要があるのですか?
また、証明書は暗号化を使用します。理論的には、ブルートフォース攻撃では、少なくとも「しばらくして」公開鍵から秘密鍵を見つけることができます(証明書に含まれている部分のみ)。したがって、一般的な信念は、暗号化マテリアルを「時々」更新することは良いことです。
これにより、証明書のSHA-1からSHA-256ベースの署名への切り替えなど、廃止予定のアルゴリズムを段階的に廃止することもできます。
上記の点は、正確に https://comodosslstore.com/blog/why-you-cant-ssl-certificate-for-more-than-3-years.html でも詳しく説明されています。
もちろん、皮肉屋は、これによってCAがあなたに毎年請求することもできると言うでしょう(しかし、今では無料でDV証明書を提供しているCAがいます...).
https://letsencrypt.org/2015/11/09/why-90-days.html Let's Encrypt証明書が90日間しか有効でない理由についての説明をご覧ください。
私たちの観点から見ると、証明書の有効期間が短いことには2つの主要な利点があります。
- それらは、鍵の侵害および誤発行による損傷を制限します。盗まれた鍵と誤って発行された証明書は、より短い期間有効です。
- これらは自動化を促進しますが、これは使いやすさにとって絶対に不可欠です。 Web全体をHTTPSに移行する場合、システム管理者が手動で更新を処理することは期待できません。発行と更新が自動化されると、有効期間が短くても、有効期間が長くなるほど便利ではありません。
すべての主要なCAが使用する主要なドキュメントの1つ(いわゆるCABフォーラムのベースライン要件)では、証明書の有効性に制限を設けています。
- 2015-04-01:「CAは、特定の状況を除いて、有効期間が39か月を超える証明書を発行してはなりません。」 (過去5年)
- 2016-06-30:「CAは、状況に関係なく、39か月を超える有効期間の加入者証明書を発行してはなりません」
- 2018-03-01:「発行された証明書には、有効期間が825日以下で、検証情報の再利用が825日に制限されている必要があります」(これは、2017-04-22のEV証明書と同様に既に制定されています)