Let’s Encryptからメールが届いた。なんのこっちゃ

件名：「Let’s Encrypt – Change for older browsers/devices」 のメールが届く

以下冒頭部分の抜粋

Hello from the staff at Let's Encrypt.

On September 30, there will be a change in how older browsers and 
devices trust Let's Encrypt certificates, resulting in a minor decrease 
in compatibility. If you run a typical website, you won't notice a 
difference. Devices and browsers running up-to-date software will 
continue working fine, and we've taken steps to make sure the vast 
majority of older devices will too. If you run a large website, or need 
to support less common software (particularly non-browser software), 
you'll want to read about the details at:


DST Root CA X3 Expiration (September 2021)
Update Feb 05, 2024 It’s been two years, and the Android compatibility cross-sign mentioned below is close to expiring. ...
letsencrypt.org

翻訳サイトで日本語に翻訳してみるが、何のことかわかりにくい

何のこっちゃ

 Let’s Encryptは当サーバーの証明書の認証局である。有料の認証局が多い中無料で証明書を発行してくれる。おっさんの自宅サーバーも Let’s Encryptのお世話になり、運営費はサーバーの電気代と修理代のみである。

サーバー証明書があると通信の暗号化が可能となるため、パスワードが悪意のある人間にダダ洩れしたりする心配が少なくなる。セキュリティーに完璧は無いけれども安心感はある。

通信が暗号化されている場合には、ブラウザのアドレスバーの左側に🔓鍵マークが表示される。

もう少し調べてみると、以下のような記述があった。

私たちが始めたとき、古いルート証明書(DSTルートCA X3)は、私たちが地面から降りて、すぐにほぼすべてのデバイスから信頼されるのを助けました。新しいルート証明書(ISRGルートX1)も広く信頼されていますが、一部の古いデバイスではソフトウェアアップデート(iPhone 4やHTC Dreamなど)が取得されないため、信頼できないものもあります。ISRG ルート X1 を信頼するプラットフォームの一覧については、ここをクリックしてください。

DST ルート CA X3 は 2021 年 9 月 30 日に期限切れになります。つまり、ISRG ルート X1 を信頼しない古いデバイスは、証明書を暗号化するを使用するサイトにアクセスするときに証明書の警告を取得し始めます。1つの重要な例外があります:ISRGルートX1を信頼していない古いAndroidデバイスは、そのルートの有効期限を過ぎて拡張するDSTルートCA X3からの特別なクロスサインのおかげで、Let’s Encryptで動作し続けます。この例外は、Android でのみ機能します。

引用　https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

文面を読んだり、調べた情報を総合すると、

現状、今までは

• おっさんの自宅サーバーは中間CA：Let’s Encryptによって証明されている。
• 中間CA：Let’sEncripyはDSTルートCA X3 によって証明されている。

今後は、

• DST ルート CA X3 は 2021 年 9 月 30 日に証明書の期限切れになる。
•  2021 年 9 月 30 日以降(または、その日より前）より新しいルート証明書(ISRGルートX1)が発行される。

Let’s Encryptを認証するルート CA(認証局）が変更になるという事だ。それに伴い一部の古い端末では通信の暗号化ができなくなるという事のようだ。通信の暗号化ができないと悪意のある人間に通信を傍受されてしまう事もあり得る。

レンタルサーバーや有料のドメイン登録では証明書、認証局などの項目はあまり気にしなくてもよい。裏でやってくれている事が多い。自宅サーバーに比べて手間が少ない。

【早い者勝ち！】.com／.net／.jp　ドメイン取るならお名前.com

文中のルートCAとは

現在の証明書を確認してみる

ブラウザを立ち上げ、アドレスバーのカギマークをクリックすると、Chromeの場合は証明書のタブがある。

これをクリックすると、右のような表示になる。

ルートCAはDST Root CA X3

中間CAはR3

サーバー（自宅）はdon-don.0am.jp

中間CAには確か「Let’s Encrypt」の文字が含まれていたかと思ったのだが「R3」のみ。調べてみるとR3に変更となったもようである。

証明書、認証局の階層構造がこの画面で確認できる。

ルートCAはDST Root CA X3なので古いルート認証局DSTである。

5月9日に証明書を再取得しており次回は8月7日である。

たぶんこの証明書の更新の際、つまり8月7日に新しいルート認証局ISRGに切り替わるものと思われる。

サーバー側では特にやることは無いが？

古い端末、デバイスでは、たぶん新しいルート証明書(ISRGルートX1)は信頼されない扱いをされる。

証明書の警告が出される

∴通信の暗号化（httpsでの通信）が保証されない。

なお、古いAndoroidでも証明書の警告を出さないような措置がとられたみたいだが永久に特別措置が続くかは不明である。

今後、注目

ルートCAはDST Root CA X3なので古いルート認証局DSTである。

5月10日に証明書を再取得しており次回は8月8日である。

たぶんこの証明書の更新の際、つまり8月8日に新しいルート認証局ISRGに切り替わるものと思われる。

証明書の更新時期に近づいたら注目してゆきたい。

Let’s Encryptからメール、問題の9月30日になった。

はじめにLet’s Encryptからメールに書かれていた問題の9月30日になった。今日の事をすっかり忘れてしまっていたのであるが、ログ解析ソフトをみると、Let’s Encryptからメールが届いた。なんのこっちゃ のアクセスが本日、急上...

don-don.0am.jp

2021.09.30

Let’s Encryptからメール、問題の9月30日から１夜開けて

1夜明けて認証局の状況がかわった昨日記事、9月30日時点での証明書のパスは、以下のようにDST Root CA X3が生きていましたが、本日10月1日になって再度確認してみると、認証局の状況が変わっていました。ISRG Root X1がRo...

don-don.0am.jp

2021.10.01

ちなみに、おっさんは自宅サーバー以外にレンタルサーバーも借りている。
mixhostでドメインを取得すると、SSL証明書も知らないうちに取得されている。

やっぱ、自宅サーバーに比べ簡単！mixhostでは、難しい設定は極力簡単にできるようになっている。

パワフルで高速なピュアSSDクラウド型レンタルサーバー