![[アップデート] AWS Certificate Managerのパブリック証明書の有効期間が395日から198日に短縮されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-7dfab20840a9e9839d19aa9a4c075ab0/5951a75a37c54f617c78e7c59e3424f1/aws-certificate-manager?w=3840&fm=webp)
[アップデート] AWS Certificate Managerのパブリック証明書の有効期間が395日から198日に短縮されました
はじめに
おのやんです。
AWS Certificate Manager(以下、ACM)にアップデートが入り、パブリック証明書の有効期間が395日から198日に短縮されました。
こちらは、CA/Browser Forumにおける「証明書の最大有効期間を段階的に短くする(参考:Ballot SC081v3: Introduce Schedule of Reducing Validity and Data Reuse Periods | CA/Browser Forum)」という変更を受けてのアップデートになります。具体的には次のとおりです。
| 証明書を発行する期間 | 最大有効期間 | 備考 |
|---|---|---|
| 〜2026年3月15日 | 398日 | |
| 2026年3月15日〜2027年3月15日 | 200日 | ←今回のアップデートはここに対応 |
| 2027年3月15日〜2029年3月15日 | 100日 | |
| 2029年3月15日〜 | 47日 |
※参考:Latest Baseline Requirements | CA/Browser Forum
最大有効期間とともに、自動更新のタイミングや料金も変更されています。
| 項目 | 変更前 | 変更後 |
|---|---|---|
| 最大有効期間 | 395日 | 198日 |
| 自動更新タイミング | 有効期限の60日前 | 有効期限の45日前 |
| エクスポート可能なパブリック証明書の、FQDN1件あたりの価格 | 15USD | 7USD |
| エクスポート可能なパブリック証明書の、ワイルドカード1件あたりの価格 | 149USD | 79USD |
※記事執筆時点のACMの料金ページをみてみると、英語版ページは更新後の価格が表示されていますが、日本語版ページは更新前の価格が表示されていました。こちらは更新が反映されていないものと考えられます。
すでに発行済みの395日有効期限の証明書は、そのまま「変更前」の設定で利用できます。証明書の更新時(有効期限の60日前)に198日の有効期限として更新され、「変更後」の項目で再設定されます。
証明書の有効期限を確認してみた
ということで、ACMでパブリック証明書を発行して、有効期間が198日になっているか確認してみます。今回は、東京リージョンでRoute 53ドメインを管理しているものとします。
AWSマネジメントコンソールでパブリック証明書を発行します。
Amazon Route 53へレコードを追加します。
追加するレコードはデフォルトの選択で問題ないので、次に進みます。
ステータスが「発行済み」になりました。
有効期間を見てみます。表示によっては月と日が逆になっている可能性があるため、念のため表示言語をアメリカ英語に変更します。Not afterがSeptember 06, 2026, 08:59:59 (UTC+09:00)(日本時間の2026年9月6日)になっており、発行日のFebruary 20, 2026, 09:52:10 (UTC+09:00)(日本時間の2026年2月20日)から198日後になっていることが確認できます。
対応必須なケースも多そう
ACM証明書が自動更新される場合は、そこまで意識する必要はなさそうです。参考までに、自動更新の対象となるACM証明書の条件が記載されたドキュメントを記載しておきます。
一方で、上記のドキュメントの条件に当てはまらない・エクスポートした証明書を手動でサーバーにデプロイしている・クライアント認証のためにACMの証明書をエクスポートして使っているなどの場合は、更新頻度が上がるため、対応必須なケースも多そうです。
