Let’s Encryptが証明書発行に関する変更点の詳細を発表、証明書チェーンの刷新・クライアント認証EKUの削除・証明書の有効期間の短縮など

Let's Encryptが今後発行する証明書について、「証明書チェーンの刷新」「TLSクライアント認証EKU(拡張キー使用法)の削除」「証明書の有効期間短縮を順次進める」という全体方針の詳細を発表しました。なお、多くの利用者は基本的に追加対応は不要とのことです。

Upcoming Changes to Let’s Encrypt Certificates - API Announcements - Let's Encrypt Community Support
https://community.letsencrypt.org/t/upcoming-changes-to-let-s-encrypt-certificates/243873

まず、CA/Bフォーラムの要件変更に伴って証明書の有効期間が短縮されます。具体的には、2026年にはtlsserverプロファイルで45日証明書がオプトインで利用可能になり、証明書のデフォルト有効期間が2027年に64日へ、さらに2028年には45日へ短縮される予定。詳細は以下の記事にまとめています。

Let’s Encryptが証明書の有効期間を45日間に短縮すると発表 - GIGAZINE

そして、証明書チェーンは従来の「Generation X」から、新しいルート認証局2つと中間認証局6つからなる「Generation Y」に移ります。

このGeneration Yの証明書は、Generation Xのルート認証局からクロス署名されているため、現行の環境でも引き続き動作するように設計されているとのこと。多くの利用者が使っているデフォルトのclassicプロファイルは、2026年5月13日にGeneration Yへ切り替わります。

また、Generation Yの中間証明書には、TLSクライアント認証EKUが含まれません。TLSクライアント認証向けEKUを含む証明書の提供については、2026年2月から終了に向けた動きが始まり、Generation Yへの切り替えと同時期に重なる予定です。互換性の問題が出る、あるいは移行猶予が必要な場合は、2026年5月までtlsclientプロファイルを利用可能。このtlsclientプロファイルは引き続きGeneration Xを使います。

tlsserverプロファイル、あるいはshortlivedプロファイルで証明書を要求している場合、2025年12月第3週からGeneration Y由来の証明書が発行されるようになり、有効期間6日の短期証明書がオプトインで一般提供されます。さらにドメイン名の代わりにIPアドレスを直接指定してアクセスするサーバーに対しても証明書を発行できるようになるとのこと。

Let's Encryptのサイト信頼性エンジニアであるマシュー・マクフェリン氏は「変更を段階的に展開するため、ACMEプロファイルを活用し、ユーザーがこれらの変更の適用時期を制御できるようにしています。ほとんどのユーザーの方は何もする必要はありません」と述べました。