2023年7月10日更新

IdenTrustからの新しいISRG Root X1クロス署名の2024年9月の期限切れに関する詳細については、新しいブログ記事をご覧ください。

2020年12月21日更新

コミュニティからのフィードバックとIdenTrustのパートナーのおかげで、古いAndroidデバイスを使用しているユーザーへのサービスを中断することなく提供し続けることができます。このブログ投稿の内容は、もはや正確ではありません。チェーンの変更に関する最新情報については、コミュニティフォーラムのこの投稿をご覧ください。

新しい認証機関(CA)が登場すると、次のようなジレンマに直面します。人々にとって役立つためには、そのルート証明書が幅広いオペレーティングシステム(OS)とブラウザによって信頼される必要があります。しかし、OSとブラウザが新しいルート証明書を受け入れるには数年かかり、さらに人々がその変更を含む新しいバージョンにデバイスをアップグレードするには、さらに時間がかかります。一般的な解決策は、新しいCAが既存の信頼できるCAにクロス署名を求め、多くのデバイスで迅速に信頼されるようにすることです。

5年前、Let's Encryptが開始されたとき、まさにそれを実行しました。IdenTrustからクロス署名を取得しました。彼らの「DST Root X3」は長年存在しており、主要なソフトウェアプラットフォーム(Windows、Firefox、macOS、Android、iOS、およびさまざまなLinuxディストリビューション)ですでに信頼されていました。そのクロス署名により、すぐに証明書の発行を開始し、多くの人々に役立つことができました。IdenTrustがなければ、Let's Encryptは実現しなかった可能性があり、彼らのパートナーシップに感謝しています。一方、独自のルート証明書(「ISRG Root X1」)を発行し、主要なソフトウェアプラットフォームで信頼されるように申請しました。

[このセクションは古くなっています] 現在、これらのソフトウェアプラットフォームは長年私たちのルート証明書を信頼しています。そして、私たちを立ち上げさせてくれたDST Root X3ルート証明書は、2021年9月1日に期限切れになります。 幸いなことに、私たちは自立し、独自のルート証明書にのみ依存する準備ができています。

しかし、これにより、いくつかの互換性の問題が発生します。2016年(ルートが多くのルートプログラムに承認された時期)以降に更新されていないソフトウェアの中には、まだ私たちのルート証明書であるISRG Root X1を信頼していないものがあります。特に、7.1.1より前のバージョンのAndroidが含まれます。つまり、これらの古いバージョンのAndroidは、Let's Encryptによって発行された証明書を信頼しなくなります。

Androidは、オペレーティングシステムのアップデートに関して、長年にわたり知られている問題を抱えています。世界には、期限切れのオペレーティングシステムを実行しているAndroidデバイスがたくさんあります。その原因は複雑で、解決が難しいです。各電話について、コアAndroidオペレーティングシステムは、エンドユーザーが受け取る前に、メーカーとモバイルキャリアの両方によって一般的に変更されます。Androidのアップデートがある場合、メーカーとモバイルキャリアの両方が、それらの変更をカスタマイズされたバージョンに組み込んでから送信する必要があります。多くの場合、メーカーはその努力をする価値がないと判断します。その結果、これらのデバイスを購入した人々にとって良くありません。多くの人が、何年も期限切れのオペレーティングシステムに縛られています。

Googleは、Distribution Dashboardでバージョン番号を提供しなくなりましたが、Android Studioをダウンロードすることで、いくつかのデータを取得できます。2020年9月現在の数値は次のとおりです。

Android Version Distribution as of September 2020

現在、Androidデバイスの66.2%がバージョン7.1以上を実行しています。残りの33.8%のAndroidデバイスは、ユーザーがLet's Encrypt証明書を持つサイトにアクセスすると、最終的に証明書エラーが発生し始めます。大規模インテグレーターとのコミュニケーションの中で、これは彼らのサイトへのトラフィックのおよそ1〜5%を表していることがわかりました。来年DST Root X3が期限切れになるまでにこれらの数値が低くなることを願っていますが、変化はそれほど大きくない可能性があります。

これについて私たちは何ができるでしょうか?Androidのアップデート状況を改善したいと思っていますが、私たちができることはあまりありません。また、世界中の人々に新しい電話を購入させる余裕もありません。別のクロス署名を得ることができますか?このオプションを検討しましたが、可能性は低いようです。CAにとって、別のCAの証明書にクロス署名することは大きなリスクです。なぜなら、彼らはそのCAが行うすべてのことに責任を負うことになるからです。また、クロス署名を受け取る側は、クロス署名を行うCAによって定められたすべての手順に従う必要があります。私たちが自立できることは重要です。また、Androidのアップデート問題は解決されていないようです。古いAndroidバージョンをサポートすることにコミットすると、他のCAからのクロス署名を無期限に求めることにコミットすることになります。

これはかなり難しい状況です。私たちは、地球上のすべての人々が安全でプライバシーを尊重するコミュニケーションを行うことに尽力しています。そして、Androidのアップデート問題で最も影響を受けるのは、私たちが最も助けたい人たち、つまり4年ごとに新しい電話を購入できない可能性のある人たちであることを知っています。残念ながら、DST Root X3が期限切れになる前にAndroidの使用状況の数値が大きく変化するとは予想していません。この変更を今すぐ周知させることで、コミュニティが最善の道を見つけるのに役立つことを願っています。

[このセクションは古くなっています] サイト所有者の方へ

2021年1月11日現在、APIを変更する予定です。これにより、ACMEクライアントはデフォルトで、ISRG Root X1につながる証明書チェーンを提供します。ただし、同じ証明書に対して、DST Root X3につながり、より広い互換性を持つ代替証明書チェーンを提供することも可能です。ACME「alternate」リンクリレーションを介して実装されています。これはバージョン1.6.0以降のCertbotでサポートされています。別のACMEクライアントを使用している場合は、クライアントのドキュメントで「alternate」リンクリレーションがサポートされているかどうかを確認してください。

ユーザーから苦情を受け取るサイト所有者がおり、それが理想的ではないことを理解しています。サイト所有者の方々に警告し、計画と準備を進められるよう、懸命に取り組んでいます。サイト所有者の方々は、一時的な修正(代替証明書チェーンへの切り替え)を展開してサイトの稼働を維持しながら、長期的なソリューションに必要なもの(古いOSのAndroidユーザーにFirefoxのインストールを促すバナーの実行、古いAndroidバージョンのサポートの中止、古いAndroidバージョンのHTTPへの戻り、またはこれらの古いバージョンにインストールされているCAへの切り替え)を評価することをお勧めします。

[このセクションは古くなっています] ホスティングプロバイダーを通じてLet's Encrypt証明書を使用している場合

ホスティングプロバイダーは、2021年9月までDST Root X3を提供している場合もあれば、2021年1月11日以降にISRG Root X1につながる証明書チェーンに切り替えることを決定する場合もあります。ご不明な点がございましたら、お問い合わせください!

古いバージョンのAndroidを使用している場合

古いバージョンのAndroidを使用している場合は、Firefox Mobileをインストールすることをお勧めします。執筆時点では、Android 5.0以降をサポートしています。

Firefoxのインストールが役立つのはなぜですか?Android搭載電話の内蔵ブラウザの場合、信頼できるルート証明書のリストはオペレーティングシステムから取得されます。これらの古い電話では、オペレーティングシステムが期限切れになっています。しかし、Firefoxは現在、ブラウザの中でユニークです。独自の信頼できるルート証明書のリストを提供しています。そのため、最新のFirefoxバージョンをインストールしたユーザーは、オペレーティングシステムが期限切れであっても、信頼できる認証機関の最新リストを利用できます。

CAとして成長を続け、世界中の人々が暗号化を利用できるようにしながら、現在と長年にわたる皆様の理解とサポートに感謝いたします。Androidデバイスにこのルートの移行がどのように影響するかについての今後のアップデートは、コミュニティフォーラムの投稿で提供します。この変更に関するご質問がございましたら、コミュニティがいつでもお手伝いさせていただきます:community.letsencrypt.org

当社のサービスを提供するには、サポーターからの貢献が必要です。貴社または貴団体がLet's Encryptをスポンサーしたい場合は、sponsor@letsencrypt.orgまでメールでお問い合わせください。可能な場合は、個人からの寄付をお願いします。

アプリ開発者の方へ

Androidアプリを開発する場合は、アプリ内でISRG Root X1を信頼できるルートとして追加するアップデートを提供できます。これを行う方法については、このフォーラムのスレッドこのGitHubの問題(サードパーティのリポジトリ)で説明されています。