【SSL証明書】FAQ/情報
SSL証明書の更新は何日前から可能ですか?手順・通知・47日化対応まで
ページ更新日:2026/05/24
30秒で分かる:SSL証明書の更新
- いつから更新できる?
- デジサート系(RapidSSL/ジオトラスト/デジサート/Thawte)は満了90日前、サイバートラストは満了30日前から(90日前からも可)。※スターフィールドは2026/03/08で弊社販売終了。既存契約のお客様は 代替商品のご案内 をご確認ください。
- 早めに更新したら期限は損する?
- 「契約期間」としては損しません — 前期の残り日数分、新規契約の満了日が後ろにずれます。ただし「証明書1枚あたりの有効期限」は 2026年2月25日(日本時間)以降、デジサート系で最大199日に短縮されているため、契約期間が199日を超える場合は契約途中で 無償再発行 による差し替えが必要です(47日化の経緯)。
- 更新と再発行の違い
- 更新=次期分の新規購入(次の契約期間が始まる)。再発行=同一注文を最新証明書に差し替え(無償・何度でも、契約期間中のみ)。
- 更新後にやること
- CSR再生成 → DCV(ドメイン所有権確認) → 新証明書をサーバーへ インストール → サーバー再起動 → 有効期限の動作確認。
- 放置するとどうなる?
- ブラウザに「この接続ではプライバシーが保護されません」等の警告が出て、サイトへアクセスできなくなる。ECサイトや会員制サービスは即サービス停止。
- 2026年〜の注意点
- 有効期限が 最大47日まで段階短縮。手動運用は工数増、ACMEによる自動更新の検討が現実的な選択肢に。
⚠️ 有効期限の短縮に関するお知らせ:2026年2月25日(日本時間/DigiCert公式UTC基準では2月24日)からデジサート系で最大199日に短縮済み。2027年・2029年にさらに短縮予定。詳しくは SSL証明書の有効期限が「47日」へ短縮されます。
SSL証明書 更新可能タイミング(認証局別)
| 認証局 | 更新可能タイミング | 主な対象商品 | 通知メール |
|---|---|---|---|
| デジサート系 | 満了 90日前 から | RapidSSL/QuickSSL Premium/トゥルービジネスID/Secure Site/Thawte SSL123 ほか | 90, 60, 30, 21, 14, 7, 3日前 |
| サイバートラスト | 満了 30日前 推奨(90日前からも可・要発行タイミング選択) | SureServer / SureServer EV | 90, 60, 45, 30, 15日前(CAから直接) |
| スターフィールド (販売終了) | 2026/03/08で弊社販売終了。新規・更新ともに受付不可。既存契約のお客様は 代替商品(QuickSSL Premium/トゥルービジネスID)のご案内 をご確認ください。 | ||
通知メールの宛先など詳細は 更新通知はしてもらえますか? をご確認ください。
早期更新と「再発行で繋ぐ」運用(デジサート系)
結論:有効期限の短縮で「契約期間 > 証明書1枚の有効期限」が常態化したため、現在は契約期間中は無償の 再発行 で繋ぎ、満了30日前以降に次期分を更新注文するのが標準運用です。
背景:SSL証明書の最長有効期限は段階的に短縮されてきました(2020年9月に397日、2026年2月25日からデジサート系で最大199日、2027年・2029年にさらに短縮予定)。1年プラン・複数年プランいずれの場合も、ご契約満了日まで継続してご利用いただくには、契約途中の 再発行(無償・何度でも可) による差し替えで運用していただきます。
補足:満了日 30〜90日前に次期分を「更新注文」する「早期更新」も従来通り可能です。ただし、早期更新でも証明書1枚の最大有効日数は変わらないため、結局は契約途中で再発行が必要になります。再発行が必要なデジサート系証明書のお客様には、毎月20日ごろ、ご注文時「請求メール送付先アドレス」宛に 再発行 案内メールを送付しています。
※上記画像は旧仕様(最大397日時点)の運用イメージです。現在は最大199日有効となるため、契約期間中に複数回の再発行で運用していただきます。
サイバートラスト:90日前更新の発行タイミング選択
基本は満了 30日前からの更新ですが、90日前からの「早期更新」も可能です。その場合は次のいずれかを選択:
- 審査完了後、満了30日前まで発行を保留(有効期限を無駄にしない・標準)
- 審査完了後、即時発行(前証明書の残り期間ぶん、期限のロスが発生)
更新手続きの全体フロー
- 更新用の注文(更新区分にチェック・前回と同じコモンネーム/組織名を入力)
- CSR を新規生成、または既存の CSR を再利用(→ CSR作成ツール)
- DCV(ドメイン所有権確認) を実施(DNS/ファイル/メール)
- OV・EV の場合は CAから組織実在の追加審査(→ 審査の流れ)
- 新証明書を受領
- サーバーに インストールして差し替え / 中間証明書も忘れずに
- 動作確認(有効期限・チェーン・サイトシール)
よくある誤解
- ❌ 早期更新すると残り期間が損になる
- ✅ 契約としては損しません。前期の残り日数分、新規契約の満了日が後ろへ加算されます(デジサート系・サイバートラスト90日前更新の保留オプションいずれも)。ただし「証明書1枚」の有効期限は 2026年2月25日(日本時間)以降デジサート系で最大199日のため、契約期間中の 無償再発行 による差し替えが別途必要です。
- ❌ 「更新注文」だけで自動的に新しい証明書がサーバーに反映される
- ✅ 反映されません。注文・発行された新証明書を、お客様ご自身がサーバーへインストール(差し替え)する必要があります。更新時のインストール手順 参照。
- ❌ 更新では DCV(ドメイン所有権確認)はスキップされる
- ✅ 更新時も毎回 DCV が必要です。前回 DNS 認証が通っていても、DNS レコード・ファイル設置を再度行う必要があります(CA/プランによっては一定期間のDCV再利用が可能)。
- ❌ 「更新」と「再発行」は同じ
- ✅ 別物です。更新=次期分の新規購入(有償)、再発行=同一注文の証明書差し替え(無償・契約期間中のみ)。47日化に向けて、契約期間中の再発行の頻度が増えます。
- ❌ 1年プランより複数年プランの方が「更新が楽」
- ✅ 47日化以降は、複数年プランでも契約期間中に十数回〜数十回の再発行が発生する見込みです。ACMEによる自動更新 の検討を推奨します。
このケースでは特に注意
- 組織名・住所・代表者の変更があった:「更新」扱いではなく「新規」扱いとなる可能性。事前に弊社へご相談ください。CSR のサブジェクト情報も再確認を。
- 満了日まで残り7日を切っている:DCV や OV/EV 審査に通常 2〜5営業日かかります。新規発行扱いでの申請と並行し、ダウンタイムを避けるため早急に動く必要があります。
- Wildcard と SAN(マルチドメイン)の構成を変更したい:「更新」では従来構成のまま発行されます。構成変更は「新規」または「再発行(構成追加)」のフローになるためご相談ください。
- サーバーが複数台 / 冗長構成 / ロードバランサー配下:全台で証明書を差し替える必要あり。1台のみ更新するとTLS ハンドシェイクが断続的に失敗します。
- 有効期限切れ後にアクセスされる旧端末(IoT 機器、社内システム、組み込み機器):root証明書ストアの更新が止まっている古い端末では、新しい中間/ルート証明書を信頼できず接続不可となるケースがあります。証明書チェーンの更新時は対象端末で動作確認を。
現場でよくあるトラブル例
- 「更新したのに証明書情報が変わらない」:原因のほとんどはサーバーへの差し替え忘れ。`openssl s_client -connect example.com:443` でサーバーが返している証明書の `notAfter` を確認。
- 「ブラウザでは更新済みなのに監視ツールでは旧証明書」:CDN/ロードバランサー/WAF 側のキャッシュ。各レイヤーで差し替えが必要。
- 「DCV メールが届かない」:ドメインのWHOIS連絡先メールが古い/自社メールサーバーがブロック/メールDCVが廃止されつつある。DNS-CNAME か HTTP file による DCV へ切り替えを検討。
- 「OV/EV 審査で却下された」:商号の表記揺れ(株式会社/(株)/(Inc.))、住所の英訳不一致、電話番号不通など。OV 審査の流れ 参照。
- 「中間証明書が抜けて Chrome では見えるが Safari でエラー」:中間証明書のインストール忘れ。中間証明書のインストール 参照。
- 「複数年プラン契約中に再発行を忘れて期限切れ」:契約期間≠証明書有効期限の混同。毎月20日ごろの再発行案内メールを購読しているメンバーに必ず転送設定を。
更新しないとどうなりますか?
SSL証明書の有効期限が切れると、ブラウザは「この接続ではプライバシーが保護されません」(Chrome)、「警告:潜在的なセキュリティリスクあり」(Firefox)といった警告を表示し、ユーザーがサイトにアクセスできない状態になります。
ECサイトや会員ログインのあるサービスでは、証明書の期限切れはサービス停止に直結します。API エンドポイントの場合、接続元のシステムでもTLSハンドシェイクが失敗し連鎖障害につながります。
満了の30日前〜90日前から余裕を持って更新作業を進めてください。
よくある質問
- Q. SSL証明書の更新は何日前から可能ですか?
- A. デジサート系(RapidSSL・ジオトラスト・デジサート・Thawte)は満了日の90日前から、サイバートラストは満了30日前から(90日前からも可・発行タイミングを選択)更新可能です。早期更新でも契約期間としては損になりません(前期の残り日数分、新規契約の満了日が後ろにずれます)。スターフィールドは2026/03/08で弊社販売終了のため、既存契約のお客様は 代替商品(QuickSSL Premium/トゥルービジネスID) をご検討ください。
- Q. SSL証明書の更新と再発行は何が違いますか?
- A. 更新は次期分の新規購入(有償)で、新しい契約期間が始まります。再発行は同一注文の証明書を最新のものへ差し替える操作で、契約期間中は無償・何度でも可能です。有効期限の段階短縮(47日化)に伴い、契約期間中の再発行頻度は今後増加します。
- Q. SSL証明書を早期更新すると残り期間は無駄になりますか?
- A. 契約期間としては無駄になりません。デジサート系は前期の残り日数分が新規契約の満了日に加算されます。サイバートラストの90日前更新では、審査完了後の発行タイミング(満了30日前まで保留 / 即時発行)を選択でき、保留オプションを選べば期限ロスは発生しません。ただし証明書1枚あたりの有効期限上限(デジサート系最大199日)は契約期間と独立して適用されるため、長い契約期間では無償再発行で差し替えます。
- Q. 更新時にCSRは再生成すべきですか?
- A. 原則として再生成を推奨します。CSRを再生成すると秘密鍵もローテーションされ、セキュリティが向上します。一方、有効期限短縮による契約期間中の再発行(更新ではない)では、運用負荷を抑えるため既存CSRの再利用も一般的です。秘密鍵の漏洩が疑われる場合は必ず再生成してください。
- Q. 更新時もDCV(ドメイン所有権確認)は必要ですか?
- A. はい、必要です。更新時もDNS/ファイル/メールのいずれかの方法でDCVを実施します。前回認証通過していてもDCVレコードの再設置が必要です(CA・プランによっては一定期間のDCV再利用が可能な場合あり)。
- Q. 更新通知メールはいつ届きますか?
- A. デジサート系は満了90/60/30/21/14/7/3日前、サイバートラストは90/60/45/30/15日前に届きます。デジサート系は弊社の「請求メール送付先アドレス」宛、サイバートラストはCAから直接「組織情報のメールアドレス」宛に送信されます。(スターフィールドは2026/03/08で弊社販売終了)
- Q. 更新を忘れて有効期限が切れるとどうなりますか?
- A. ブラウザに「この接続ではプライバシーが保護されません」(Chrome)、「警告:潜在的なセキュリティリスクあり」(Firefox)等の警告が表示され、ユーザーはサイトへアクセス不能になります。ECサイト・会員制サービス・API接続は即サービス停止となり、API連携先でも連鎖障害が発生する可能性があります。
- Q. 更新後にやるべき作業は何ですか?
- A. 新証明書をWebサーバーへインストール(差し替え)し、中間証明書も合わせて配置、サーバーを再起動(NginxやApacheはgraceful reloadでダウンタイムなし)。最後にブラウザで有効期限の更新と中間証明書チェーンの正常性を確認します。CDN・ロードバランサー・WAFを経由している場合は各レイヤーの差し替えも必要です。
- Q. 47日化(有効期限短縮)後はどう運用すればよいですか?
- A. 2027年・2029年に向けてSSL証明書の最大有効期限は最終的に47日まで短縮される予定です。手動運用では年8回前後の差し替えが必要になるため、ACMEプロトコルによる自動更新 の導入を強く推奨します。1年プラン・複数年プランの契約期間中は無償の再発行で繋ぐ運用が継続できます。
関連ページ
更新通知メールの送付タイミング・宛先
更新後のサーバーインストール手順(Apache/Nginx/IIS/Plesk)
SSL証明書の再発行(無償・契約期間中・何度でも可)
DCV(ドメイン所有権確認)の方法と選び方
中間証明書のインストール
SSL証明書の有効期限が「47日」へ段階短縮
ACMEによる自動更新・自動発行
複数年プランのメリット
複数ドメイン・複数証明書の一元管理
SSL証明書のご注文(更新含む)