CA/Bフォーラム(CA/Browser Forum)とは?SSL証明書の標準化団体を解説
ページ更新日:2026/05/02
CA/Bフォーラム(CA/Browser Forum)は、SSL証明書の発行基準・セキュリティ要件を策定するSSL業界の標準化団体です。
認証局(CA)とブラウザベンダーが共同で参加し、ユーザーが安全にインターネットを利用できるよう、証明書に関するルールを継続的に改定しています。
SSL証明書の有効期限短縮・DCV要件の変化・新しいセキュリティ要件のほとんどはCA/Bフォーラムの決議が起点となっています。
CA/Bフォーラムとは
CA/Bフォーラムは2005年に設立されたボランタリー(任意参加)の業界団体です。「Certificate Authority / Browser Forum」の略で、SSL/TLS証明書の発行・管理基準を定めるBaseline Requirements(ベースライン要件)などの文書を策定・改定しています。
CA/Bフォーラムが定めたルールは、ブラウザのルートプログラム(証明書ストア)への参加条件とほぼ連動しています。認証局がChromeやFirefoxなどのブラウザに「信頼された認証局」として認定され続けるには、これらのルールに従う必要があります。
主な参加メンバー
| 種別 | 主な参加者 |
| 認証局(CA) | DigiCert(デジサート)、Sectigo、GlobalSign、Entrust、SECOM、サイバートラストなど |
| ブラウザベンダー | Google(Chrome)、Mozilla(Firefox)、Apple(Safari)、Microsoft(Edge)など |
| その他 | ルートプログラムを運営するOS・プラットフォームベンダー |
※ CA/Bフォーラムへの参加は任意ですが、主要認証局・ブラウザはほぼすべて参加しています。
CA/Bフォーラムが定める主なルール(Baseline Requirements)
CA/Bフォーラムが策定する文書のうち最も重要なのが、Baseline Requirements(BR)です。TLS証明書の発行・管理に関する最低基準を定めています。
- DV・OV・EV の認証レベルと審査要件(組織審査の方法・電話確認の要件など)
- DCV(ドメイン確認)の方法(DNS認証・ファイル認証・メール認証の仕様)
- 証明書の有効期限(現在の最大期限、今後の短縮スケジュール)
- 証明書フォーマット(X.509の拡張フィールド、EKUなど)
- 証明書透明性(CT)ログへの記録義務
- OCSP・CRL(証明書失効情報)の提供要件
- 秘密鍵の保護要件(コードサイニング証明書のUSBトークン義務化など)
Ballot(投票)による意思決定
CA/Bフォーラムのルール変更は「Ballot(バロット)」と呼ばれる投票プロセスで決定されます。
- メンバーがBallotを提案し、議論期間(通常7日間)を経て投票フェーズへ移行する
- 投票期間(通常7日間)に認証局・ブラウザがそれぞれ賛否を投票する
- 可決された場合、実施日(Effective Date)まで猶予期間が設けられる
※ Ballotの結果はCA/Bフォーラムの公式ウェブサイト(cabforum.org)で公開されており、SSL業界のニュースとして広く報道されます。
SSL証明書ユーザーへの主な影響(近年の主要決議)
| 決議内容 | 実施時期 | 影響 |
| SSL証明書の有効期限を最大398日(約13ヵ月)に短縮 | 2020年9月〜 | 2年以上の証明書が廃止。証明書更新頻度が増加 |
| コードサイニング証明書のUSBトークン義務化 | 2023年6月〜 | ソフトウェア開発者はHSMまたはUSBトークンが必要に |
| MPIC(複数視点からのDCV確認)の義務化 | 2025年9月〜 | ルーティングハイジャックを悪用した不正証明書取得への対策強化 |
| DCV再利用期間の短縮(398日→段階的に10日へ) | 2026年〜順次 | ドメイン確認の再実施頻度が大幅に増加。自動化(ACME)の導入が実質必須に |
| SSL証明書の有効期限を最大47日程度に短縮 | 2026年〜段階的 | 手動更新が現実的に困難に。ACMEプロトコルによる自動更新が強く推奨される |
| EV・OV証明書の組織認証再利用期間の短縮 | 2026年〜 | OV/EV証明書更新時の再審査頻度が増加 |
CA/Bフォーラムとブラウザのルートプログラムの関係
CA/Bフォーラムのルールは業界の「最低基準」です。ブラウザベンダーはこれに加え、独自のルートプログラムポリシーを設けることがあります。
- Google Chrome Root Program:Chromeは独自のルート証明書ストアを管理し、CA/BフォーラムのBR以上の要件を課すことがあります(例:ChromeはSSL証明書の47日短縮を牽引)
- Mozilla Root Program:Firefoxも独自のポリシーを持ち、認証局に定期的な監査報告書の提出を義務付けています
- Apple Root Program:Safariを通じてCA/Bフォーラムのルールに加え、独自要件を追加します
このため、CA/Bフォーラムで可決されたルールよりも、個々のブラウザが先行して厳しい要件を打ち出す場合があります。特にGoogle Chromeは業界動向を先導することが多く、そのポリシー変更はSSL業界全体に大きな影響を与えます。
SSL証明書有効期限短縮の背景にある考え方
CA/Bフォーラムが証明書の有効期限を繰り返し短縮してきた背景には、次の考え方があります。
- 古い証明書のリスク削減:有効期限が長いほど、発行後に組織情報・ドメイン所有者が変わっていても証明書がそのまま使われ続けるリスクが高い
- 秘密鍵漏洩時の影響期間を短縮:証明書を短命にすることで、漏洩した秘密鍵が使われる期間を自動的に制限できる
- 自動化の促進:更新頻度が高くなるほど手動管理は現実的でなくなり、ACMEなどの自動化が普及する
※ 2026年以降の有効期限47日短縮については SSL証明書の有効期限が「47日」へ短縮されます・SSL証明書の自動更新・自動発行(ACME) も参照してください。
よくある質問
- Q. CA/Bフォーラムのルールはいつ適用されますか?
- CA/Bフォーラムでルールが可決(Ballot可決)された後、実施日(Effective Date)が設定されます。実施日以降に発行される証明書から新ルールが適用されます。実施日前に発行済みの証明書には遡及適用されないのが原則ですが、ブラウザが独自に強制するケース(既存証明書を無効化するなど)もあります。
- Q. CA/Bフォーラムのルール変更は事前にわかりますか?
- CA/Bフォーラムの会議議事録・Ballot情報は公開されており、業界メディア(DigiCertブログ・SSL関連ニュースサイト)でも報道されます。特に有効期限変更・DCV変更などの大きな変更は、認証局からも事前通知があります。弊社からも重要な変更についてはFAQ/情報ページでお知らせします。
- Q. CA/Bフォーラムのルールに違反した証明書はどうなりますか?
- Chromeなどのブラウザは、CA/Bフォーラムのルールや自社ポリシーに違反した認証局が発行した証明書をブラウザのルート証明書ストアから削除する(ダウングレード・不信任)ことがあります。過去にはGoogleがSymantecのルート証明書を段階的に不信任にした事例が有名です。こうした処分があると、その認証局が発行した証明書を使っているすべてのサイトでブラウザ警告が表示されます。
関連ページ:
SSL証明書の有効期限が「47日」へ短縮されます
SSL証明書の自動更新・自動発行とは?ACMEプロトコル
DCV(ドメイン所有権確認)の方法:DNS・ファイル・メール認証の違いと手順
証明書透明性(CT:Certificate Transparency)ログとは?