件名:「Let’s Encrypt – Change for older browsers/devices」 のメールが届く
以下冒頭部分の抜粋 Hello from the staff at Let's Encrypt. On September 30, there will be a change in how older browsers and devices trust Let's Encrypt certificates, resulting in a minor decrease in compatibility. If you run a typical website, you won't notice a difference. Devices and browsers running up-to-date software will continue working fine, and we've taken steps to make sure the vast majority of older devices will too. If you run a large website, or need to support less common software (particularly non-browser software), you'll want to read about the details at:
翻訳サイトで日本語に翻訳してみるが、何のことかわかりにくい
9 月 30 日に、古いブラウザーとデバイスが Let’s Encrypt 証明書を信頼する方法が変更され、互換性が若干低下します。一般的な Web サイトを実行している場合は、違いに気付かないでしょう。最新のソフトウェアを実行しているデバイスとブラウザーは引き続き正常に動作し、大多数の古いデバイスも動作することを確認するための措置を講じました。大規模な Web サイトを運営している場合、またはあまり一般的ではないソフトウェア (特にブラウザー以外のソフトウェア) をサポートする必要がある場合は、次の URL で詳細を確認することをお勧めします。
何のこっちゃ
Let’s Encryptは当サーバーの証明書の認証局である。有料の認証局が多い中無料で証明書を発行してくれる。おっさんの自宅サーバーも Let’s Encryptのお世話になり、運営費はサーバーの電気代と修理代のみである。
サーバー証明書があると通信の暗号化が可能となるため、パスワードが悪意のある人間にダダ洩れしたりする心配が少なくなる。セキュリティーに完璧は無いけれども安心感はある。
通信が暗号化されている場合には、ブラウザのアドレスバーの左側に🔓鍵マークが表示される。
もう少し調べてみると、以下のような記述があった。
私たちが始めたとき、古いルート証明書(DSTルートCA X3)は、私たちが地面から降りて、すぐにほぼすべてのデバイスから信頼されるのを助けました。新しいルート証明書(ISRGルートX1)も広く信頼されていますが、一部の古いデバイスではソフトウェアアップデート(iPhone 4やHTC Dreamなど)が取得されないため、信頼できないものもあります。ISRG ルート X1 を信頼するプラットフォームの一覧については、ここをクリックしてください。
DST ルート CA X3 は 2021 年 9 月 30 日に期限切れになります。つまり、ISRG ルート X1 を信頼しない古いデバイスは、証明書を暗号化するを使用するサイトにアクセスするときに証明書の警告を取得し始めます。1つの重要な例外があります:ISRGルートX1を信頼していない古いAndroidデバイスは、そのルートの有効期限を過ぎて拡張するDSTルートCA X3からの特別なクロスサインのおかげで、Let’s Encryptで動作し続けます。この例外は、Android でのみ機能します。
引用 https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
文面を読んだり、調べた情報を総合すると、
現状、今までは
- おっさんの自宅サーバーは中間CA:Let’s Encryptによって証明されている。
- 中間CA:Let’sEncripyはDSTルートCA X3 によって証明されている。
今後は、
- DST ルート CA X3 は 2021 年 9 月 30 日に証明書の期限切れになる。
- 2021 年 9 月 30 日以降(または、その日より前)より新しいルート証明書(ISRGルートX1)が発行される。
Let’s Encryptを認証するルート CA(認証局)が変更になるという事だ。それに伴い一部の古い端末では通信の暗号化ができなくなるという事のようだ。通信の暗号化ができないと悪意のある人間に通信を傍受されてしまう事もあり得る。
レンタルサーバーや有料のドメイン登録では証明書、認証局などの項目はあまり気にしなくてもよい。裏でやってくれている事が多い。自宅サーバーに比べて手間が少ない。
【早い者勝ち!】.com/.net/.jp ドメイン取るならお名前.com
文中のルートCAとは
現在の証明書を確認してみる
ブラウザを立ち上げ、アドレスバーのカギマークをクリックすると、Chromeの場合は証明書のタブがある。
これをクリックすると、右のような表示になる。
ルートCAはDST Root CA X3
中間CAはR3
サーバー(自宅)はdon-don.0am.jp
中間CAには確か「Let’s Encrypt」の文字が含まれていたかと思ったのだが「R3」のみ。調べてみるとR3に変更となったもようである。
証明書、認証局の階層構造がこの画面で確認できる。
ルートCAはDST Root CA X3なので古いルート認証局DSTである。
5月9日に証明書を再取得しており次回は8月7日である。
たぶんこの証明書の更新の際、つまり8月7日に新しいルート認証局ISRGに切り替わるものと思われる。
カスペルスキーが機能している際に、先ほどのように鍵マークをクリックすると、サーバー証明書の上位認証局はKaspersky ***** と表示される。恐らくカスペルスキーが認証局CAの仕事をフックして間に入りセキュリティーに関する諸々のチェックをしているのだろう?と思われる。(かなり想像です)
サーバー側では特にやることは無いが?
古い端末、デバイスでは、たぶん新しいルート証明書(ISRGルートX1)は信頼されない扱いをされる。
証明書の警告が出される
∴通信の暗号化(httpsでの通信)が保証されない。
なお、古いAndoroidでも証明書の警告を出さないような措置がとられたみたいだが永久に特別措置が続くかは不明である。
今後、注目
ルートCAはDST Root CA X3なので古いルート認証局DSTである。
5月10日に証明書を再取得しており次回は8月8日である。
たぶんこの証明書の更新の際、つまり8月8日に新しいルート認証局ISRGに切り替わるものと思われる。
証明書の更新時期に近づいたら注目してゆきたい。
ちなみに、おっさんは自宅サーバー以外にレンタルサーバーも借りている。
mixhostでドメインを取得すると、SSL証明書も知らないうちに取得されている。
やっぱ、自宅サーバーに比べ簡単!mixhostでは、難しい設定は極力簡単にできるようになっている。
コメント