【IoT Core】X.509クライアント証明書の有効期限について

はじめに

パーソル＆サーバーワークスの山口です。
AWS IoT Core (以下、IoT Core) で作成しているクライアント証明書の有効期限について心配になり調べました。

X.509クライアント証明書

IoT Coreでは、X.509クライアント証明書を作成します。
試しに1つ作成してみました。
以下がプロパティになります。

Subject
CN=AWS IoT Certificate  
Issuer  
OU=Amazon Web Services O=Amazon.com Inc. L=Seattle ST=Washington C=US  
Expires  
January 01, 2050, 08:59:59 (UTC+09:00)  

有効期限が2049年まで※UTC変換
自分はこれを見たとき長くていいなとしか考えていませんでした。
ただこんな長くてセキュリティ的にいいのかという疑問から少し調べてみました。

有効期限の標準

AWSはRFCに準拠しているので、その範囲内で設定されている認識はあったのですが、実際どこまで延ばせるのだろうかと気になりRFC5280を少し読んできました。
引用 RFC5280

CAs conforming to this profile MUST always encode certificate
validity dates through the year 2049 as UTCTime; certificate validity
dates in 2050 or later MUST be encoded as GeneralizedTime.
Conforming applications MUST be able to process validity dates that
are encoded in either UTCTime or GeneralizedTime.

AWSさんも最大限延ばしていました、、

正直20年以上たったらさすがにデバイス証明書を入れているデバイス自体なくなりそうなので、運用面では少なくとも気にしなくてよさそうです。

更新をするなら

ただ1年で更新をするとなった場合は自動化するのが無難でしょう。
AWSブログでも証明書自動更新についての記事が投稿されていますので、参考までに紹介します。

引用 IoT デバイスの証明書の更新を管理

終わりに

基本的にはRFCに準拠しているので証明書の更新については考える必要がないように思えました。
AWSが用意しているのもアーキテクチャが"TPM または HSM がデバイス上で利用できない場合"というパターンの場合はということでした。
ただ、IoTデバイスのセキュリティは慎重になるのはとてもよくわかるのでしっかり見極める必要があると思いました。

この記事は私が書きました

山口 翼

記事一覧

IoT周りの仕事が好きです！ ロボット作りたい