SSL 200日ルール(2026)を中小企業向けに解説
目次
結論: SSL(サーバー)証明書の最大有効期間は、2026 年 3 月 15 日から 398 日 → 200 日へ短縮されました(施行済み)。業界団体 CA/Browser Forum の議決 SC-081v3 で承認された段階的ロードマップ(200日→100日→最終47日)の第一歩です。更新間隔が短くなるぶん更新漏れが起きやすくなり、切れると主要ブラウザは接続を拒否し「この接続は安全ではありません」の全画面警告(NET::ERR_CERT_DATE_INVALID)を表示します。対策の本命は自動更新の仕組み化です。
「SSL 証明書の有効期間が短くなる」という話を耳にして、自社サイトに何が起きるのか気になっている Web 担当者の方は多いはずです。なかでも最初の節目となったのが、証明書の最大有効期間が 200 日台 へと短くなった、いわゆる「200 日ルール」です(2026 年 3 月 15 日に施行)。
この記事では、200 日ルールが何で、いつ施行され、中小企業のサイト運用に何が起きるのかを、技術用語をできるだけかみくだいて整理します。あわせて、進めておきたい自動更新の準備までを実務目線でまとめます。
なお、ここで紹介する日数や適用日は CA/Browser Forum の議決 SC-081v3 にもとづく業界スケジュールです。運用判断の前には、ご利用の証明書発行元(認証局)の最新案内も必ずご確認ください。
「SSL 200日ルール」とは何か
SSL 証明書(正確にはサーバー証明書、TLS 証明書とも呼びます)には「有効期間」があります。期限が切れると、ブラウザに「この接続は安全ではありません」という警告が表示され、サイトやフォームが正常に使えなくなります。
これまで証明書の最大有効期間は 398 日(およそ 13 か月)でした。これが業界の取り決めによって段階的に短縮されることが決まっており、その最初の段階が「200 日」への短縮です。
この取り決めは、ブラウザ事業者と認証局が参加する業界団体「CA/Browser Forum」のバロット(議決)SC-081v3 で 2025 年に承認されました。証明書の有効期間を一度に短くするのではなく、何年かに分けて段階的に縮める「ロードマップ」になっているのが特徴です。
その第一歩が 200 日への短縮であり、最終的には 47 日まで縮む計画になっています。本記事では最初の節目である「200 日台」への移行に焦点を当てます。最終 47 日までの全体像と各段階の詳細は、47 日問題をまとめた記事で解説しています。
いつ施行されたか:スケジュールの要点
SC-081v3 で確定した業界スケジュールでは、最大有効期間は次のように段階的に短縮されます。
- 2026 年 3 月 15 日より前: 最大 398 日
- 2026 年 3 月 15 日から(施行済み): 最大 200 日
- 2027 年 3 月 15 日から: 最大 100 日
- 2029 年 3 月 15 日から: 最大 47 日
つまり「200 日ルール」が動き出したのは 2026 年 3 月 15 日 で、すでに施行されています。この日以降に新しく発行・更新される証明書は、200 日を超える有効期間では発行されません。
注意したいのは、発行元によって前倒しで対応する場合がある点です。発行のタイミングや運用の余裕を見て、200 日よりわずかに短い日数(たとえば 199 日)で証明書を出す認証局もあります。いずれにせよ「これまでより半分近く短くなる」という方向性は共通です。
ここで一点、有効期間とは別に「ドメイン認証情報の使い回し期間(再利用期間)」も同時に短くなる点を押さえておきましょう。これは「このドメインの持ち主は確かにあなたです」という確認結果を、次回の発行時にどれだけ流用できるかを示す期間です。これも 2026 年 3 月から 200 日へ短縮済みで、最終的には 10 日まで短縮されます。実務的には「証明書だけでなく、ドメインの所有確認も以前より頻繁に求められる」と理解しておけば十分です。
なぜ有効期間を短くするのか
「短くなると更新が面倒なだけでは」と感じるかもしれません。短縮には、おもに次のような狙いがあります。
第一に、安全性の向上です。証明書に使われる暗号鍵が万一漏れた場合、有効期間が長いほど悪用される余地が長く残ります。期間が短ければ、問題のある証明書が世の中に残り続ける時間を抑えられます。
第二に、情報の鮮度の確保です。証明書には組織名やドメインの情報が含まれます。期間が長いと、その間に会社の状況やドメインの管理状態が変わっても古い情報のまま使われ続けてしまいます。短い周期で出し直すことで、情報が実態に追従しやすくなります。
第三に、自動化への移行を促すという業界全体の方針です。有効期間が短くなるほど、人手での更新は現実的でなくなります。短縮ロードマップは、サイト運用を「手作業」から「自動更新」へ移していくための、いわば後押しでもあります。
中小企業のサイト運用に起きる実務影響
では、実際の運用で何が変わるのでしょうか。中小企業のサイトでよく見られる影響を挙げます。
更新の回数が増える。 これまで年に 1 回だった証明書の入れ替えが、200 日ルールでは年に 2 回近いペースになります。100 日、47 日と進めば、さらに頻度は上がります。担当者がカレンダーに期限をメモして手動で対応している運用では、回数が増えるほど抜け漏れのリスクが高まります。
期限切れによる事故の確率が上がる。 証明書が切れると、サイトが表示できなくなったり、問い合わせフォームやオンライン決済が止まったりします。更新の機会が増えるということは、それだけ「うっかり忘れ」が起きる場面も増えるということです。担当者の異動や退職で引き継ぎが漏れると、誰も気づかないまま期限を迎えてしまうこともあります。
手動更新の負担が無視できなくなる。 1 回あたりの作業が小さくても、回数が倍になれば負担も倍です。複数のサイトやサブドメインを抱えていると、管理対象が多いほど手間は積み上がります。
これらを総合すると、結論はシンプルです。手作業での更新を前提にした運用は、近いうちに限界を迎えます。 だからこそ、200 日ルールが施行された今、「自動更新」の仕組みへ移行しておくことが、いちばんの備えになります。
いま準備すべきこと:自動更新への移行ステップ
200 日ルールへの実務的な備えは、次の手順で進めると整理しやすくなります。
ステップ 1: 証明書の棚卸しをする。 まず、自社が管理しているドメインとサブドメインで、どこにどの証明書が入っているかを洗い出します。「メインサイト」「採用ページ」「古いキャンペーンサイト」など、忘れられがちなものほど期限切れ事故の温床になります。発行元と有効期限を一覧にまとめましょう。
ステップ 2: 自動更新に対応できる環境か確認する。 多くのレンタルサーバーやクラウドサービス、CDN は証明書の自動発行・自動更新に対応しています。自社の構成がどの方式に当てはまるかを確認します。自動更新の具体的な組み方は証明書の自動更新の進め方をまとめた記事で解説しているので、あわせてご覧ください。
ステップ 3: 自動更新を設定する。 対応環境であれば、自動更新を有効化します。設定後は「本当に自動で更新されたか」を一度は目視で確認することが大切です。自動化したつもりでも、設定の食い違いで更新が走っていないケースは珍しくありません。
ステップ 4: 監視で取りこぼしを防ぐ。 自動更新を入れても、それで安心とは限りません。設定変更やドメイン移管、認証局側の都合で、自動更新が静かに失敗することがあります。よくある失敗パターンと対処は自動更新が失敗するケースをまとめた記事で取り上げています。期限が近づいたら通知が届くよう、監視の仕組みを併用しておくと安心です。
有効期間が 200 日、100 日、47 日と短くなっていく流れは止まりません。早めに自動更新へ移行しておけば、今後どれだけ周期が短くなっても、運用のやり方を都度作り直す必要がなくなります。
よくある質問
SSL の 200 日ルールはいつから始まりましたか?
CA/Browser Forum の議決 SC-081v3 にもとづき、2026 年 3 月 15 日から最大有効期間が 200 日に短縮され、すでに施行されています。発行元によっては前倒しで対応する場合があるため、正確な適用日は証明書発行元の最新案内もご確認ください。
なぜ証明書の有効期間を短くするのですか?
暗号鍵が漏れたときの被害期間を短くする、証明書に含まれる情報の鮮度を保つ、人手の更新から自動更新への移行を促す、という狙いがあります。
中小企業はまず何を準備すべきですか?
証明書の棚卸し(どこにどの証明書が入っているか)、自動更新への対応確認と設定、そして期限切れを防ぐ監視の併用です。更新回数が増えるため、手作業を前提にした運用は近いうちに限界を迎えます。
まとめ
- SSL 証明書の最大有効期間は段階的に短縮され、最初の節目が「200 日」への短縮です
- 200 日ルールは 2026 年 3 月 15 日から施行されています(発行元により前倒し対応あり)
- 更新回数が増えるため、手作業の運用は期限切れ事故のリスクが高まります
- いま備えるべきは「証明書の棚卸し → 自動更新の設定 → 監視」という流れです
- 日数や適用日は最新の公式案内を必ず確認してください
証明書の期限切れは、サイト停止やフォーム・決済の不通といったかたちで、ビジネスに直接の損害をもたらします。「うちのサイトは大丈夫か」「どこに証明書が入っているか把握できていない」という方は、まず現状の確認から始めましょう。
ドメイン番人の無料診断では、SSL 証明書の有効期限やメール・ドメイン周りの設定状況をまとめてチェックできます。200 日ルールが施行された今、自社サイトの足元を点検しておきませんか。