2024年6月6日(木)に、新しい中間証明書を使用した発行に切り替えます。同時に、Let's Encrypt の信頼チェーンを短縮するという戦略に合わせて、API から DST Root CA X3 のクロス署名を削除します。デフォルトのチェーンから ECDSA エンドエンティティ証明書の発行を開始し、2 つ目の中間証明書と RSA 中間証明書から ECDSA エンドエンティティ証明書を発行するオプションを削除します。Let's Encrypt ステージング環境では、2024年4月24日に同等の変更が行われます。

ACME クライアント(certbotなど)は証明書の更新時に新しい中間証明書を自動的に設定するため、ほとんどの Let's Encrypt サブスクライバーはこの変更に対応するために何もする必要はありません。影響を受けるサブスクライバーは、現在中間証明書をピン留めしているサブスクライバーです(詳細は後述)。

次の図は、新しい階層構造を示しています。すべての証明書の詳細は、更新された信頼チェーンのドキュメントページをご覧ください。

Let’s Encrypt 2024 Ceremony

新しい中間証明書

今年初め、Let's Encrypt は新しい中間鍵と証明書を生成しました。これらは、2020年9月に発行され、有効期限が近づいている現在の中間証明書に取って代わります。

RSA 中間証明書と ECDSA 中間証明書の両方によって発行されたすべての証明書は、ISRG Root X1 → (RSA または ECDSA) 中間証明書 → エンドエンティティ証明書のデフォルトチェーンで提供されます。つまり、RSA または ECDSA エンドエンティティ証明書のどちらを選択した場合でも、すべての証明書には、Let's Encrypt で最も広く信頼されているルートである ISRG Root X1 によって直接署名された 1 つの中間証明書が含まれます。

新しい ECDSA 中間証明書には、ISRG Root X2:ISRG Root X2 → ECDSA 中間証明書 → エンドエンティティ証明書への代替チェーンもあります。これは、可能な限り最小の TLS ハンドシェイクを好む少数のサブスクライバーにのみ適用されます。この ECDSA 専用チェーンを使用するには、代替チェーンをリクエストする方法について、ACME クライアントのドキュメントを参照してください。 RSA 中間証明書の代替チェーンはありません。

同時に複数のアクティブな RSA 中間証明書と 2 つのアクティブな ECDSA 中間証明書が存在することに注意することが重要です。RSA リーフ証明書は、アクティブな RSA 中間証明書のいずれか(証明書の発行者共通名フィールドの値「R10」から「R14」)によって署名される場合があり、ECDSA リーフ証明書は、アクティブな ECDSA 中間証明書のいずれか(「E5」から「E9」)によって署名される場合があります。繰り返しますが、ACME クライアントはこれを自動的に処理する必要があります。

認証局の中間証明書は、Web サイトの証明書が定期的に更新されるのと同じように、数年ごとに有効期限が切れ、交換する必要があります。今後、Let's Encrypt は、使用中の証明書を毎年切り替えることで、証明書の全体的なセキュリティを強化する予定です。

DST Root CA X3 クロス署名の削除

Let's Encrypt の信頼チェーンの短縮に関する以前の投稿で発表したように、新しい中間チェーンには DST Root CA X3 クロス署名は含まれません。クロス署名をなくすことで、証明書をより無駄がなく効率的にし、インターネットユーザーのページ読み込み速度を向上させています。2024年2月8日にデフォルトの証明書チェーンでクロス署名の提供を 이미 중단했으므로、ACME クライアントが DST Root CA X3 を含むチェーンを明示的にリクエストしていない場合、これは変更されません。

ECDSA 証明書のデフォルトとしての ECDSA 中間証明書

現在、ECDSA エンドエンティティ証明書は、ユーザーがリクエストフォームから ECDSA 中間証明書の使用を選択しない限り、RSA 中間証明書によって署名されます。新しい中間証明書では、すべての ECDSA エンドエンティティ証明書を ECDSA 中間証明書から発行します。リクエストフォームと許可リストはECDSA 中間証明書を利用できるようにするために導入されましたが、使用されなくなります。

以前は、デフォルトの ECDSA チェーンには、E1 とクロス署名された ISRG Root X2 の 2 つの中間証明書が含まれていました(つまり、ISRG Root X1 → ISRG Root X2 → E1 → エンドエンティティ証明書)。変更後は、ISRG Root X1 によってクロス署名された新しい ECDSA 中間証明書のいずれかのバージョンである単一の中間証明書のみが含まれます(つまり、ISRG Root X1 → E5 → エンドエンティティ証明書)。これにより、RSA と ECDSA の両方を含むすべての中間証明書が、最も広く信頼されている ISRG Root X1 によって直接署名されます。

この変更により、ほとんどのユーザーがより小さな TLS ハンドシェイクの恩恵を受けられると期待しています。ECDSA 中間証明書との互換性の問題が発生した場合は、Let's Encrypt ユーザーは RSA 証明書に切り替えることをお勧めします。Android 7.0 には、ECDSA 中間証明書を含むほとんどの楕円曲線(EC)証明書で動作しないバグがあることが知られています。ただし、そのバージョンの Android は ISRG Root X1 を信頼していないため、既に互換性がありません。

中間証明書のピン留めまたはハードコーディングのリスク

中間証明書またはルート証明書のピン留めまたはハードコーディングはお勧めしません。 中間証明書は頻繁に変更されるため、ピン留めすることは特に推奨されません。中間証明書をピン留めする場合は、新しい中間証明書の完全なセット(こちらで入手可能)があることを確認してください。

ご質問がありますか?

Web をより安全でプライバシーを尊重するものにするためのベストプラクティスを実行するために私たちを信頼してくれた何百万人ものサブスクライバーに感謝しており、中間証明書をより頻繁にローテーションすることはその 1 つです。また、この作業を可能にする素晴らしいコミュニティと資金提供者のサポートにも感謝いたします。この移行またはその他の作業についてご質問がある場合は、コミュニティフォーラムでお問い合わせください。

私たちは、サービスを提供するためにサポーターからの寄付に依存しています。あなたの会社または組織が Let's Encrypt のスポンサーになることで私たちの活動を支援できる場合は、sponsor@letsencrypt.orgまでメールでお問い合わせください。可能な場合は、個別の寄付をお願いします。