【Ansible】SSL/TLS証明書47日問題

～年8回の更新サイクルをAnsible AAPで「無人化」する～

1. 背景：証明書の「1年1回更新」が終焉。決定した「47日ルール」へのカウントダウン

Webサイトの信頼性を支えるSSL/TLS証明書の運用ルールがかつてないスピードで厳格化されています。

2023年にGoogleがロードマップで掲げた「90日短縮案」は業界に大きな衝撃を与えましたが、最新の業界合意（CA/B Forum Ballot SC-088）ではさらに踏み込み、2029年には最大有効期間をわずか「47日」まで短縮することが正式に決定しました。今後は、以下のスケジュールで段階的に有効期限が短縮されます。

2026年3月を境に、これまでの「年に1回の定例作業」という感覚は通用しなくなります。最終的には「年間約8回以上」という極めて高頻度な更新サイクルが強制されることになり、以下のような「運用の負の遺産」を抱える現場では、手動管理が破綻する「運用の臨界点」がすぐそこに迫っています。

• ブラックボックス化した手順： 前任者から引き継いだ独自の更新手順書や特定のサーバーOS・ミドルウェアに依存した個別対応
• アナログな社内承認フロー： 申請から発行、適用までに数週間を要し、短期間の更新サイクルに追いつかない古いプロセス
• インフラのサイロ化： オンプレミス、クラウド、ネットワーク機器がバラバラに管理され、全体像を把握できない「野良証明書」による失効リスク

2. 課題：手動管理が招く「ビジネス沈没」のリスク

更新頻度が従来の4倍〜8倍に激増することで、手動運用を続ける組織は以下の致命的なリスクに直面します。

• ヒューマンエラーによるサイトダウン： 膨大な数の証明書のうち、たった1箇所の更新漏れがサービス停止を招き、ビジネス損失とブランド毀損に直結します
• 運用コストの爆発的増加： デバイスごとに異なる手順（ロードバランサー、Webサーバー、コンテナ等）を、47日ごとに実行し続ける工数は、もはや無視できないレベルに達します
• セキュリティガバナンスの喪失： 管理外の「野良証明書」が放置され、脆弱な暗号アルゴリズムの更新や鍵の流出への対応が遅れるリスクが高まります

3. 解決：Red Hat Ansible Automation Platformによる「証明書ライフサイクル」の完全自動化

この過酷な更新サイクルを「人」の力で乗り切ることは不可能です。Red Hat Ansible Automation Platform（AAP）を活用し、証明書の「棚卸し・発行・展開・検証」の全プロセスを自動化することで、属人性を排除したセキュアな運用を実現します。

AAP が提供する自動化の概要：

• マルチベンダー対応の一元管理： 異なるメーカーのロードバランサーからサーバー、クラウド環境まで、単一のPlaybookで一括制御
• 証明書発行プロセスとのシームレスな連携： 認証局（CA）のAPI等と連携し、CSR作成から証明書取得までを完全に無人化
• ステータスの可視化と継続的監視： 全社的な証明書の期限を一元監視し、更新プロセスを自動実行。人間は「成功のログ」を確認するだけの運用へ

導入のご相談はこちらから
jboss-sales@scsk.jp