Let’s Encryptからメールが届いた。なんのこっちゃ

CentOS
この記事は約7分で読めます。
スポンサーリンク

件名:「Let’s Encrypt – Change for older browsers/devices」 のメールが届く

以下冒頭部分の抜粋

Hello from the staff at Let's Encrypt.

On September 30, there will be a change in how older browsers and 
devices trust Let's Encrypt certificates, resulting in a minor decrease 
in compatibility. If you run a typical website, you won't notice a 
difference. Devices and browsers running up-to-date software will 
continue working fine, and we've taken steps to make sure the vast 
majority of older devices will too. If you run a large website, or need 
to support less common software (particularly non-browser software), 
you'll want to read about the details at:

DST Root CA X3 Expiration (September 2021) - Let's Encrypt
On September 30 2021, there will be a small change in how older browsers and devices trust Let’s Encrypt certificates. If you run a typical website, you w...

 

翻訳サイトで日本語に翻訳してみるが、何のことかわかりにくい

和訳:
9 月 30 日に、古いブラウザーとデバイスが Let’s Encrypt 証明書を信頼する方法が変更され、互換性が若干低下します。一般的な Web サイトを実行している場合は、違いに気付かないでしょう。最新のソフトウェアを実行しているデバイスとブラウザーは引き続き正常に動作し、大多数の古いデバイスも動作することを確認するための措置を講じました。大規模な Web サイトを運営している場合、またはあまり一般的ではないソフトウェア (特にブラウザー以外のソフトウェア) をサポートする必要がある場合は、次の URL で詳細を確認することをお勧めします。

 

何のこっちゃ

 Let’s Encryptは当サーバーの証明書の認証局である。有料の認証局が多い中無料で証明書を発行してくれる。おっさんの自宅サーバーも Let’s Encryptのお世話になり、運営費はサーバーの電気代と修理代のみである。

サーバー証明書があると通信の暗号化が可能となるため、パスワードが悪意のある人間にダダ洩れしたりする心配が少なくなる。セキュリティーに完璧は無いけれども安心感はある。

通信が暗号化されている場合には、ブラウザのアドレスバーの左側に🔓鍵マークが表示される。

もう少し調べてみると、以下のような記述があった。

私たちが始めたとき、古いルート証明書(DSTルートCA X3)は、私たちが地面から降りて、すぐにほぼすべてのデバイスから信頼されるのを助けました。新しいルート証明書(ISRGルートX1)も広く信頼されていますが、一部の古いデバイスではソフトウェアアップデート(iPhone 4やHTC Dreamなど)が取得されないため、信頼できないものもあります。ISRG ルート X1 を信頼するプラットフォームの一覧については、ここをクリックしてください。

DST ルート CA X3 は 2021 年 9 月 30 日に期限切れになります。つまり、ISRG ルート X1 を信頼しない古いデバイスは、証明書を暗号化するを使用するサイトにアクセスするときに証明書の警告を取得し始めます。1つの重要な例外があります:ISRGルートX1を信頼していない古いAndroidデバイスは、そのルートの有効期限を過ぎて拡張するDSTルートCA X3からの特別なクロスサインのおかげで、Let’s Encryptで動作し続けます。この例外は、Android でのみ機能します。

引用 https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

文面を読んだり、調べた情報を総合すると、

現状、今までは

  • おっさんの自宅サーバーは中間CA:Let’sEncripyによって証明されている。
  • 中間CA:Let’sEncripyはDSTルートCA X3 によって証明されている。

今後は、

  • DST ルート CA X3 は 2021 年 9 月 30 日に証明書の期限切れになる。
  •  2021 年 9 月 30 日以降(または、その日より前)より新しいルート証明書(ISRGルートX1)が発行される。

Let’sEncripyを認証するルート CA(認証局)が変更になるという事だ。それに伴い一部の古い端末では暗号が通信ができなくなるという事のようだ。

 

文中のルートCAとは

通信の信頼性を向上するHTTPSプロトコルを使用するサーバーでは、サーバー自体が信頼できることを示す証明書が必要だ。
サーバーの証明書は一般に中間認証局(IntermediateAuthority、略してICA)で発行される。おっさん宅のサーバーの証明書はLet’sEncriptで発行される。中間認証局自身の証明書はルート認証局(ルートCA)によって認証される。ルートCAは一番信頼の高い上位の認証局である。
行政に例えるなら、住民票などの証明書を発行してもらう場合に市役所まで出かけてゆくのではなく、より身近な近くの出先機関で発行してもらうようなものだ。コンビニでも発行出来たりするようだ。証明書発行の出先機関があるのは市役所の窓口だけでは証明書発行業務に限界があるためだ。
市役所がルートCA、出先機関、コンビニなどが中間CAにあたる。

現在の証明書を確認してみる

ブラウザを立ち上げ、アドレスバーのカギマークをクリックすると、Chromeの場合は証明書のタブがある。

これをクリックすると、右のような表示になる。

ルートCAはDST Root CA X3

中間CAはR3

サーバー(自宅)はdon-don.0am.jp

 

中間CAには確か「Let’s Encrypt」の文字が含まれていたかと思ったのだが「R3」のみ。調べてみるとR3に変更となったもようである。

 

証明書、認証局の階層構造がこの画面で確認できる。

 

ルートCAはDST Root CA X3なので古いルート認証局DSTである。

5月9日に証明書を再取得しており次回は8月7日である。

たぶんこの証明書の更新の際、つまり8月7日に新しいルート認証局ISRGに切り替わるものと思われる。

 

少し脱線するがカスペルスキーの仕組み(想像)
カスペルスキーが機能している際に、先ほどのように鍵マークをクリックすると、サーバー証明書の上位認証局はKaspersky ***** と表示される。恐らくカスペルスキーが認証局CAの仕事をフックして間に入りセキュリティーに関する諸々のチェックをしているのだろう?と思われる。

(かなり想像です)

カスペルスキー セキュリティのご購入はこちら

サーバー側では特にやることは無いが?

古い端末、デバイスでは、たぶん新しいルート証明書(ISRGルートX1)は信頼されない扱いをされる。

証明書の警告が出される

∴通信の暗号化(httpsでの通信)が保証されない。

なお、古いAndoroidでも証明書の警告を出さないような措置がとられたみたいだが永久に特別措置が続くかは不明である。

【早い者勝ち!】.com/.net/.jp ドメイン取るならお名前.com

 

今後、注目

ルートCAはDST Root CA X3なので古いルート認証局DSTである。

5月10日に証明書を再取得しており次回は8月8日である。

 

たぶんこの証明書の更新の際、つまり8月8日に新しいルート認証局ISRGに切り替わるものと思われる。

 

 

 

証明書の更新時期に近づいたら注目してゆきたい。

 

ちなみに、おっさんは自宅サーバー以外にレンタルサーバーも借りている。
mixhostでドメインを取得すると、SSL証明書も知らないうちに取得されている。

やっぱ、自宅サーバーに比べ簡単!mixhostでは、難しい設定は極力簡単にできるようになっている。

パワフルで高速なピュアSSDクラウド型レンタルサーバー

コメント

タイトルとURLをコピーしました