Let’s Encrypt 古いルート証明書がついに期限切れ
無料のSSL証明書として急速に利用が広まった Let’s Encrypt ですが、今日になって突然、証明書の期限切れの警告が出るようになったかもしれません。自動更新されるはずだし、証明書自身は期限きれてないし、こっちのブラウザではOKだったりとか。
Let’s Encryptのルート証明書として使われてきた「IdentTrust DST Root CA X3」の有効期限が2021年9月30日で切れたのが原因です。
「ルート証明書」は、SSLサーバ証明書が正規の認証局から発行されたことを保証するために施された電子署名の起点となる証明書です。ルート証明書→中間証明書→サーバ証明書というように電子署名の信頼の連鎖がつながっているわけですね。
ルート証明書はクライアント側が持っています。WEBサイトにアクセスしようとするPCや携帯端末のOSやブラウザにあらかじめインストールされています。
Let’s Encryptを運用するISRGは、2014年にスタートした新しい認証局です。Let’s Encryptを使ってもらおうとすると、あらかじめクライアント側にLet’s Encryptのルート証明書をインストールしてもらわなければなりません。そこで、設立当初は、別の認証局であるIden Trustのルート証明書「IdentTrust DST Root CA X3」を、Let’s Encryptのルート証明書として利用することにしました。
そうして運用しながら、自身のルート証明書「ISRG Root X1」を、各OSメーカーに採用してもらうよう働きかけてきました。
Let’s Encryptのサーバ証明書は、すでに「ISRG Root X1」を使うようになっていますので、新しい端末からのアクセスには影響はありません。アクセスできなくなったのは「IdentTrust DST Root CA X3」しかインストールされていない古い端末からでした。
おそらく大部分のPCや携帯端末からでは問題なさそうですが、もしもWEBサイト側で解決を求められた場合、できることは、「Let’s Encryptを使わない」以外にはなさそうです。
参考:
Let’s Encrypt証明書が独自ルートの提供を開始(SSLセキュア)
数百万のHTTPSサイトが利用するLet’s Encryptのルート証明書が期限切れ間近、古いデバイスやOSは要注意(TechCrunch)