無料SSL証明書として有名な「Let’s Encrypt」のルート証明書の有効期限が2021年9月30日までとなっています。
これによってどういった影響が出るのか、簡単にまとめてみたいと思います。
どういった影響が出るの
端末によってはLet’s Encrypt発行のSSL証明書を使用したサイトが見られなくなります。
どうして見られなくなるの
一言で言えば、サイトが持っているSSL証明書が本物だと証明できなくなるからです。
もうちょっと詳しく説明しましょう。
サイトが「これがうちの証明書です」と言って提示してきたとしても、それが本物である保証はありませんよね。
サイトがいくら真剣に「本物です!」と言ったところで信用なんて出来ませんよね。
そこで、サイトが持つ証明書に「この証明書は本物です。私が保証します」という、他の機関(仮にAとする)が発行した証明書をくっつけます。
そうすることで「お!あのAが保証しているんだったら本物に間違いない!」ということになりますが、そのAが発行した証明書が本物である保証はありませんよね。
そこで、先程と同じように、Aが発行した証明書に「この証明書は本物です。私が保証します」という、他の機関(仮にBとする)が発行した証明書をくっつけます。
そうすることで(以下略)
ただこれだとどこまでその証明ツリーを延ばしていくのかという問題にぶつかります。
はっきり言って際限ないですよね。
そこで「これさえあればもう間違いない」的な証明書を作ったのですが、その証明書がルート証明書です。
証明ツリーを辿っていって、最終的にルート証明書が本物であればサイトが持っている証明書も本物であると証明されることになります
で、そのルート証明書はどこにあるのか。
各デバイスのOSが持っています。
証明ツリーの最後で得られたルート証明書と、OSが持っているルート証明書を照らし合わせることで証明ツリー全体の信憑性を判断するのですが、先述の通り2021年9月30日以降は期限切れとなり証明書としての価値がなくなってしまいます。
つまり、途中の証明書が全て本当に本物だったとしても、ルート証明書が死んでいるのでそのサイトにはアクセスできないことになります。
どうすればいいの
Let’s Encryptは既存のルート証明書に代わる新しいルート証明書を発行済みです。
新しめのOSにはそれがインストールされているし、多少古くてもOSアップデートでインストールされるのですが既にサポートの切れたOSだとそれが出来ない可能性が高くなります。
OSをアップデートするか、新しい端末に買い換えるのが一番手っ取り早いと思います。
当サイトの対応
今回の件、一番影響を受けるのはAndroid 7.1.1以前の端末だそうです。
これらの端末でもサイトを見られるようにするためにはLet’s Encrypt発行のSSL証明書を使わないようにする必要があるわけですが、言うまでもなく当サイトは一切サポートする気はありませんのでご了承ください。
(それ以前に、ephemeral-arcadia.jp配下はLet’s Encrypt発行のSSL証明書を使っていませんが…)
前にも言ったかもしれませんが、個人的には古いバージョンのサポートは1つ前まで、最大限譲歩して2つ前までで十分だと思っています。
仕事だとそういうわけにもいかないんですけどねぇ。😅
これからも古いものはズバズバ切っていくのでよろしくお願いします!!