―「年1回更新」が前提だった運用は、すでに崩れ始めている
セキュリティ強化、しかし本質は「運用ルールの変更」
SSL証明書の最大有効期間が199日に短縮されることが正式にアナウンスされました。
この変更は CA/Browser Forum における議論を経たものですが、
実際には Google(Chromiumプロジェクト) が
(最長)「398日 → 199日」という方針を強く打ち出したことが決定打となり、
各証明書ベンダーが追随した、というのが実情です。
セキュリティ業界としては自然な流れです。
ただし、Webサイトを「事業として運用している側」
にとっては、影響は決して小さくありません。
何が変わるのか?
これまで多くの企業では、
- SSL証明書は 年1回更新
- 年間の運用・保守計画の中で対応
- 見積・請求も「年次前提」
という前提で回っていました。
しかし今後は、
- 最大有効期間 199日
- 実質 年2回更新が前提
- 更新作業・確認・調整が倍増
という運用になります。
これは単なる期限短縮ではなく、
「年間運用設計そのものの変更」です。
「2026年から変わる」ではない点に注意
よくある誤解が、
「2026年になったら影響が出る」という認識です。
実際にはそうではありません。
- 2025年中に発行した“1年証明書”
- その証明書が失効し、次の更新を迎えたタイミング
- そこで初めて「199日証明書しか選べない」状態になる
つまり、
すでに“次回更新計画”の時点から影響は始まっている、ということです。
具体的な適用スケジュール
主要証明書ベンダーはすでに「199日(最長200日)制限」への対応日を公開しています。
-
デジサート: 2026年2月25日以降に発行される証明書から適用
-
グローバルサイン: 2026年3月14日以降に発行される証明書から適用
※これらの日より前に発行された有効期間1年の証明書は、その期限まで有効です。
しかし、その次の更新からは強制的に199日制限がかかります。
年間保守・運用契約を結んでいる場合の落とし穴
特に注意が必要なのは、次のようなケースです!
- SSL更新が「年1回前提」で契約に含まれている
- 更新作業を都度請求している
- 年間スケジュールで工数管理している
有効期限が短縮されたことにより、
- 作業回数だけが増える
- 契約上の前提と実態(費用負担)がズレる
- 後出しで追加費用(の負担)を説明する事態になりやすい
という状況が生まれます。
これは現場の問題ではなく、
契約設計・運用設計の話です。
無料SSL(Let’s Encrypt)なら関係ない?
小規模事業者では、
Let’s Encryptなどの無料SSLを使っているケースも多いでしょう。
- もともと有効期限は90日
- 自動更新が前提
- 今回の「199日短縮」は体感しにくい
確かにその通りです。
ただし、
自動更新が止まった瞬間、即サイト停止リスク
という構造自体は、よりシビアになります。
これは「ITの話」ではなく「事業継続の話」
SSL証明書の有効期限短縮は、
- サーバートラブルでも
- 突発的な障害でも
- 現場の単純ミスでもありません
前提条件が静かに書き換えられた、という話です。
2026年の証明書更新を迎える前に、ぜひ一度、
- 自社および管理しているサイトのSSL種別
- 更新方法(手動/自動)
- 保守契約の範囲
- 更新作業と費用の扱い
について整理しておくことをおすすめします。