CA/Browser Forum – Baseline Requirements 公開ページ
Baseline Requirements Documents (SSL/TLS Server Certificates) – CAB Forum
2011/11
2011/11/22に、Baseline Requirements v.1.0が公開される。2012/07/01から有効化。
サーバー証明書の有効期間
2015/03/31までは、有効期間は60か月。
2015/04/01以降は、有効期間は39か月。
9.4 Validity Period
Baseline_Requirements_V1.pdf
Certificates issued after the Effective Date MUST have a Validity Period no greater than 60 months.
Except as provided for below, Certificates issued after 1 April 2015 MUST have a Validity Period no greater than 39 months.
Beyond 1 April 2015, CAs MAY continue to issue Certificates with a Validity Period greater than 39 months but not greater than 60 months provided that the CA documents that the Certificate is for a system or software that:
(a) was in use prior to the Effective Date;
(b) is currently in use by either the Applicant or a substantial number of Relying Parties;
(c) fails to operate if the Validity Period is shorter than 60 months;
(d) does not contain known security risks to Relying Parties; and
(e) is difficult to patch or replace without substantial economic outlay.
(日本語訳)
9.4 有効期間
発効日以降に発行される証明書は、60か月を超えない有効期間を有しなければならない。
以下に規定する場合を除き、2015 年 4 月 1 日以降に発行される証明書は、有効期間を39か月以下にしなければならない。
2015 年 4 月 1 日以降も、CAは、証明書が以下のシステムまたはソフトウェアに対応することを証明することを条件に、有効期間が39か月を超え60か月以下の証明書を発行することができる。
(a) 発効日前に使用されていたものであること。
(b) 申請者または相当数の依拠当事者によって現在使用されている。
(c) 有効期間が60か月より短い場合、動作しない。
(d) 依拠当事者にとって既知のセキュリティリスクを含んでいないこと。
(e) 相当な経済的支出なしに、パッチや交換が困難であること。
2015/04
2015/04/01以降、DV および OV 証明書の最大有効期間が39か月となる。
2017/03
CA/Browser Forumで、Ballot 185 は、DV および OV 証明書の最大有効期間を39か月から 825日 (約27か月) に短縮するというフォーラム メンバー間のコンセンサスが示された。この投票はそのコンセンサスを反映し、DV および OV 証明書の審査データの再利用の最大期間を39か月から27か月に短縮する。
Ballot 193 – 825-day Certificate Lifetimes
2018/03
2018/03/01より、DV および OV 証明書の最大有効期間が39か月から 825日 (約27か月) に短縮される。
2019/08
CA/Browser Forumで、GoogleがTLSサーバー証明書の有効期間を最大825日(2年3カ月)から397日(13カ月)に短縮するようBaseline Requirementsの改訂を提案した。早ければ2020年4月以降に更新する証明書から適用を求める内容であった。認証局の賛成票が三分の二以上ないと、可決しないが、認証局の賛成票が35%しかなかったため、可決しなかった。
Voting by Certificate Issuers
33 votes total including abstentions
- 11 Yes votes: Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (former Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius PKIoverheid, SHECA, SSL.com
- **20 No votes: **Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (former Trustwave)
- **2 Abstain: **HARICA, TurkTrust
35% of voting Certificate Issuers voted in favor.
Voting by Certificate Consumers
7 votes total including abstentions:
- 7 Yes votes: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
- 0 No votes:
- **0 Abstain: **
100% of voting Certificate Consumers voted in favor.
Ballot SC22 – Reduce Certificate Lifetimes (v2)
米グーグルがHTTPS証明書の有効期間1年短縮を提案、認証局は反論 | 日経クロステック(xTECH)
2020/03
Appleが、2020/09/01以降に発行されたTLS サーバー証明書の有効期間は、398 日を超えてはならないルールを発表。(発行する際は、397日以下で発行することを推奨)
About upcoming limits on trusted certificates – Apple Support
2020/07
CA/Browser Forumでサーバー証明書の有効期間を最大825日(2年3カ月)から397日(13カ月)に短縮する内容が含まれたBaseline Requirementsの改訂案について、認証局の賛成票が三分の二以上あると、可決するが、認証局の賛成票は79%であった。
Voting by Certificate Issuers – 20 votes total including abstentions
– 15 Yes votes: Amazon, Buypass, Certum (Asseco), Sectigo (former Comodo CA), DigiCert, eMudhra, GDCA, GlobalSign, GoDaddy, HARICA, Kamu SM, SSL.com, SwissSign, TWCA, TrustCor
– 4 No votes: Comsign, Entrust Datacard, Firmaprofesional, OATI
– 1 Abstain: D-TRUST79% of voting Certificate Issuers voted in favor.
Voting by Certificate Consumers – 6 votes total including abstentions
– 5 Yes votes: Apple, Google, Microsoft, Mozilla, Opera
– 0 No votes:
– 1 Abstain: Cisco100% of voting Certificate Consumers voted in favor.
2020/09
Baseline Requirements 1.7.1の改訂より、2020/09/01より、サーバー証明書の有効期間は、398 日を超えてはならなず、397日以下で発行するべきという規定が有効化される。
