失効が不要なShort-lived証明書に関するmemo - ASnoKaze blog

IETFやCAB Forumで有効期限の短い証明書(Short-lived Certificate)について議論があるようなので軽く眺めておく 詳しい人は補足いただけると嬉しいです 背景 Googleでは、Webをより安全にするためにWeb PKIのポリシーについて様々な取り組みを行っています。 www.chromium.org その取り組みのなかにはCAが証明書の発行ポリシーに関するものもあります。 有効期間の短い Short-lived証明書 の利用を促し、より自動化を促進するために、CA/Browser ForumのBaseline Requirementsに対して提案を行っています。 具体的なProposalでは、OCSPをOptinalにすることと、Short-lived Certificateで失効(Revocation)が不要であるとすることを提案しています。 github.

[nikoli]

有効期間が短い証明書が優れている理屈はわかるんだが、Googleのいう証明書を短期間化することで自動化が促進されるというのは、世の中には様々なサーバ証明書の実装環境があることをあまりに軽視しすぎていると思う。

[tmatsuu]

有効期限が7日以下（2026年3月15日までは10日以下も含む）のものを指す。OCSPはOptional、CAは失効処理が不要とする提案。なるほど使い捨てみたいな扱いか。