SSL証明書の有効期限は、90日から45日に半減されようとしています。少数のドメインを運用している多くのWebサイトオーナーにとっては、これはほとんど影響がありません。しかし、何百、何千ものリダイレクトドメインを管理するチームにとっては、運用上の計算が「努力すれば何とかなる」から「数学的に維持不可能」へと変わります。ここでは、45日間の証明書時代がリダイレクト基盤に何を意味するのか、そして90日ではかろうじて機能していた手動の更新プロセスが、新しいスケジュールの下でなぜ崩壊するのかを、具体的に分解していきます。
現状の実態:多くのエンタープライズチームは、すでに90日間の更新に苦戦している#
まずは現実を直視しましょう。90日間の証明書有効期限であっても、ほとんどの組織はSSL更新プロセスを十分に最適化できていません。
一般的な中規模企業では、50〜200のリダイレクトドメインを管理しています。ブランド名の短縮リンク、キャンペーンURL、レガシーなドメインのリダイレクト、タイポスクワッティング対策などです。各ドメインにはHTTPSトラフィックを提供する有効なSSL証明書が必要で、各証明書はそれぞれ独自の時計で期限切れになります。90日間の世界では、1ドメインあたり年間約4回の更新サイクルが必要ということになります。
50ドメインなら年間200件の証明書オペレーション。200ドメインなら年間800件です。これらはワンクリック作業ではありません。期限切れ日を確認し、DNSレコードがまだ正しいことを検証し、リダイレクト先が引き続き有効であることを確認し、証明書が実際に展開されたことをテストする必要があります。
多くのチームは、スプレッドシート、カレンダーのリマインダー、そして「なんとかなる」という運用の組み合わせで対応しています。インシデントは起きます。こちらでは期限切れの証明書、あちらでは更新の見落とし、などです。ただし90日間の間隔なら、量としてはまだ耐えられます。チームは、壊れたリダイレクトに関するたまの午前2時のアラートを受けて対処し、次へ進みます。
しかし、その許容度は、これからストレステストを受けることになります。
スケールしたときの計算:なぜ45日サイクルは負荷を2倍にするのか#
計算は単純で、しかも容赦ないです。90日から45日の証明書有効期限に切り替えることは、作業が50%増えることではありません。2倍になります。
リダイレクトドメインを100個管理している会社を例にします:
- •90日間の世界: 100ドメイン × 年4回の更新 = 400件の証明書オペレーション
- •45日間の世界: 100ドメイン × 年8回の更新 = 800件の証明書オペレーション
これを500ドメインにスケールすると——代理店、ドメイン投資家、エンタープライズのマーケティングチームではよくあることです:
- •90日間の世界: 500 × 4 = 年2,000件のオペレーション
- •45日間の世界: 500 × 8 = 年4,000件のオペレーション
年間2,000回の更新サイクルは、すでにフルタイムの運用担当レベルです。4,000回ならチームになります。そしてそれは証明書だけの話で、各ドメインに付随するリダイレクトルール、DNS変更、モニタリングは含まれていません。
本当の問題は、年間4,000件の手動更新が大変かどうかではありません。問題は「何が最初に壊れるか」です。
見えないコスト:エンジニア工数、期限切れ証明書のインシデント、週末のページ対応#
目に見えるコストは、更新作業そのものです。しかし見えないコストこそが、手動のSSL管理を大規模運用で本当に危険なものにします。
エンジニア工数。単一の証明書更新——有効期限の確認、DNSの検証、デプロイのテスト——はすべてが順調なら10〜15分かかります。年4,000回の更新では、年間660〜1,000時間のエンジニアリング工数です。保守込みの時給を控えめに$75とすると、証明書のメンテナンスだけで年間$50,000〜$75,000になります。ビジネス価値を生まない作業に対してです。
期限切れ証明書のインシデント。 運用がしっかりしているチームでも更新の見落としは起きます。業界調査では、組織の15〜25%が毎年少なくとも1件、証明書関連の障害を経験しているとされています。更新頻度が2倍になると、インシデント発生確率はさらに増幅します。マーケティングキャンペーンのURLで1つの期限切れ証明書が発生すると、広告費の損失、メールリンクの不通、エラーページによるSEOへの悪影響につながり得ます。
緊急の更新。 期限切れの証明書が見つかったとき(多くの場合、エンジニアではなく顧客によって発見されます)、更新は緊急対応になります。緊急作業は計画されたメンテナンスの3〜5倍の時間を要し、エンジニアがそれ以外に行っていた作業も中断します。
週末および営業時間外のページ通知。 証明書は営業時間を気にしません。追加の更新サイクルが増えるたびに、営業時間外インシデントに関する「もう一度の運試し」が増えます。
「カレンダーのリマインダーを設定するだけ」アプローチが50以上のドメインで失敗する理由#
自動SSL管理に対する最も一般的な反論は次のとおりです。 「私たちはカレンダーのリマインダーを使っているだけです。問題なく動いています。」
5〜10個のドメインなら、カレンダーのリマインダーでも機能します。しかし、いくつかの理由で規模が大きくなると破綻します。
リマインダー疲れ。 100個のドメインに対して、ドメインごとに年間8回の更新リマインダーがあるとすると、毎営業日ほぼ2回の更新リマインダーが発生している計算になります。エンジニアはすぐにそれらを無視するよう調整してしまいます。
有効期限の分散。 証明書は各ドメインが最初にプロビジョニングされた時点に基づいて期限切れになるため、月次でまとめて処理できるタスクというより、絶え間ない締切の連続になります。
所有権の曖昧さ。 去年のキャンペーンで使っていたリダイレクトドメインの証明書更新は誰が担当するのですか? マーケティング? DevOps? 6か月前に退職した元キャンペーン担当者? 50以上のドメインになると、責任の所在が曖昧になります。
ドメインのライフサイクルによる変動。 リダイレクトドメインは入れ替わります。キャンペーンURLはアーカイブされ、古い製品名は廃止されます。更新カレンダーを現実に同期させ続けること自体が、別のメンテナンス作業になります。
監視のギャップ:多くのチームは、何かが壊れて初めて期限切れ証明書に気づく#
ほとんどの組織におけるSSL監視の、つらい現実があります。それは「事前」ではなく「事後」対応だということです。
多くのチームは証明書の問題を見つけるために稼働監視(アップタイム監視)に頼っていますが、稼働監視はサーバーが応答するかどうかを確認するだけで、証明書が有効かどうかは確認しません。期限切れの証明書が入ったリダイレクトでも「応答」はします。リダイレクトの代わりに、ブラウザのセキュリティ警告を表示するだけです。監視ツールの見え方では、すべて問題ありません。ユーザーの見え方では、あなたのブランドが「接続はプライベートではありません」という画面をユーザーに表示したことになります。
有効期限、チェーンの妥当性、失効ステータスを継続的に監視する仕組みは存在しますが、通常は一次の本番ドメインにしか導入されていません。リダイレクト用やキャンペーン用の何百ものドメインには適用されないことがほとんどです。証明書の有効期間が45日になったことで、この監視ギャップはさらに危険になっています。監視されていないドメインはすべて、起きるのを待つ「顧客向けエラー」の可能性です。
代替案:リダイレクト基盤レベルでの自動SSL#
解決策は、より良いカレンダー管理や監視ツールを増やすことではありません。そもそもSSL更新の手作業を、問題の方程式から完全に取り除くことです。
最新のリダイレクト基盤プラットフォームは、インフラレベルでSSL証明書のプロビジョニングと更新を処理します。ドメインを追加すると、プラットフォームが自動的にLet's Encryptの証明書を発行します。証明書が期限に近づくと、自動で更新されます。エンジニアが触る必要もなく、カレンダーのリマインダーも不要で、午前3時に監視アラートが鳴ることもありません。
重要なアーキテクチャ上の違いは、SSLを人が実行する「ドメインごとの作業」として扱うのではなく、プラットフォームが保証する「インフラの属性」として扱う点です。CDNやロードバランサのTLS証明書を手作業で更新しないのと同じように、プラットフォームがそれを担います。
リダイレクト用ドメインを管理しているチームにとって、このアプローチは大きな変革です。これらのドメインはトラフィックをリダイレクトするために存在します。アプリケーションをホストするわけでも、コンテンツを配信するわけでもありません。目的は、HTTPSリクエストを受け取り、リダイレクト応答を返すことだけです。このユースケースでSSLを自動化すれば、最大の運用負担を解消しつつ、複雑さは一切増えません。
リダイレクト基盤を検討しているなら、自動SSLを譲れない要件にしてください。証明書を自動で扱うプラットフォームと扱わないプラットフォームの違いは、スケールしたときに「証明書関連のインシデントがゼロになるか」「年間に何十件も発生するか」の違いです。
結論#
45日証明書の時代は危機ではありません。むしろ、強制力(フォーシングファンクション)です。すでにリダイレクトドメインを大規模に運用している組織にとっては、すでに遅れていた会話を加速させます。つまり、手作業によるSSL更新はスケールしないという点です。
計算は明確です。ドメインが500件の場合、90日から45日に切り替えることで、更新オペレーションは年間2,000回から4,000回へ倍増します。これは、ビジネス価値を生まない作業に対して、エンジニアリングコストとして5万〜7万5,000ドルを意味します。さらに、期限切れ証明書のインシデント、緊急の更新、そして大規模な手作業プロセスに必ずついて回る評判の毀損は考慮に入れていません。
自社のSSL更新負担を見積もってください。ドメイン数に8(45日サイクルの場合)を掛け、1回の更新あたり10〜15分を見積もります。次に、その時間を使ってエンジニアリングチームが何を作れるのかを考えてみてください。
証明書管理の手間をなくすためのインフラは、すでに存在しています。問題は、チームがそれを先回りして導入するのか、それとも最初の顧客が「リダイレクトが壊れている」と報告するまで待つのか、です。
よくある質問
世界最大の証明書認証機関であるLet's Encryptは、SSL/TLS証明書の有効期限を90日から45日に短縮しています。この変更により、すべてのドメインの年間更新サイクルが倍増し、SSL証明書を手動で管理するチームにとって運用負担が大幅に増加します。
リダイレクトドメインはHTTPSトラフィックを提供するために有効なSSL証明書が必要です。45日間の証明書では、各リダイレクトドメインは年間4回の代わりに8回の更新操作が必要です。数百のリダイレクトドメインを管理する組織にとって、これは年間数千の追加更新操作を意味し、手動プロセスを持続不可能にします。
500のドメインでは、45日間のサイクルで手動SSL更新を行うには、年間約4,000の操作が必要です。更新ごとに10-15分かかるとすると、660-1,000のエンジニアリング時間が必要で、労働コストだけで年間約50,000ドルから75,000ドルになります。ダウンタイムのインシデントや緊急更新を考慮する前の数字です。
リダイレクトドメインのSSL証明書が期限切れになると、訪問者はリダイレクトされる代わりにブラウザのセキュリティ警告を目にします。これによりマーケティングキャンペーンのリンクが壊れ、広告費が無駄になり、エラーページを通じてSEOが損なわれ、ユーザーの信頼が失われます — それでもリダイレクト自体は技術的には証明書エラーの背後で機能しています。
はい。現代のリダイレクトインフラストラクチャプラットフォームは、インフラストラクチャレベルでSSL証明書を自動的にプロビジョニングおよび更新します。ドメインを追加すると、プラットフォームはLet's Encrypt証明書をプロビジョニングし、有効期限前に自動更新します — 手動更新を完全に排除します。
業界の調査によると、15-25%の組織が年間に少なくとも1回の証明書関連の障害を経験しています。45日間の証明書への移行により更新頻度が倍増することで、手動プロセスに依存するチームにとって、更新の見逃しや証明書のインシデントの可能性が大幅に増加します。
いいえ。標準の稼働時間監視は、サーバーが応答するかどうかをチェックするものであり、その証明書が有効かどうかを確認するものではありません。期限切れの証明書を持つリダイレクトは監視のpingに応答しますが、ユーザーにはセキュリティ警告を表示します。これらの問題を顧客が気づく前にキャッチするには、有効期限やチェーンの有効性をチェックする専用の証明書監視が必要です。
Let's Encryptは45日間の証明書の有効期限への移行を発表しており、この変更は2026年中に展開される予定です。複数のドメインを管理する組織は、手動プロセスが圧倒されるのを待つのではなく、今すぐ自動証明書管理への移行を計画し始めるべきです。





