最終更新日: | すべてのドキュメントを見る
2024年2月5日更新 2年が経過し、下記で言及されているAndroid互換クロス署名は間もなく期限切れとなります。2024年を通して行われる変更の詳細については、最新のブログ記事をご覧ください。
2021年9月30日更新 予定通り、DST Root CA X3クロス署名は期限切れとなり、現在ではほとんどすべてのデバイスで独自のISRG Root X1を使用して信頼性を確保しています。計画の詳細については、読み進めてください!また、コミュニティフォーラムのProduction Chain Changesスレッドを更新しました - 私たちのチームとコミュニティはここにいて、この失効に関するご質問にお答えする準備ができています。
2021年9月30日、古いブラウザとデバイスがLet's Encrypt証明書を信頼する方法に小さな変更があります。一般的なウェブサイトを運営している場合、違いに気付かないでしょう - ほとんどの訪問者はLet's Encrypt証明書を受け入れます。APIを提供する場合やIoTデバイスをサポートする必要がある場合は、変更に少し注意を払う必要があるかもしれません。
Let's Encryptには、「ルート証明書」と呼ばれるISRG Root X1があります。最新のブラウザとデバイスは、ウェブサイトにインストールされているLet's Encrypt証明書を信頼しています。これは、ルート証明書のリストにISRG Root X1が含まれているためです。発行する証明書が古いデバイスでも信頼されるようにするために、「クロス署名」も古いルート証明書であるDST Root CA X3から取得しています。
開始当初、その古いルート証明書(DST Root CA X3)は、すぐにほとんどすべてのデバイスから信頼されるために役立ちました。新しいルート証明書(ISRG Root X1)も広く信頼されていますが、ソフトウェアの更新を受け取らない古いデバイス(たとえば、iPhone 4やHTC Dream)では、それを信頼することは決してありません。ISRG Root X1を信頼するプラットフォームのリストはこちらをクリックしてください。
DST Root CA X3は2021年9月30日に期限切れになります。つまり、ISRG Root X1を信頼しない古いデバイスは、Let's Encrypt証明書を使用するサイトにアクセスすると、証明書の警告が表示されるようになります。ただし、重要な例外が1つあります。ISRG Root X1を信頼しない古いAndroidデバイスは、Let's Encryptと引き続き動作します。DST Root CA X3からの特別なクロス署名のおかげで、そのルートの期限切れ後も機能が継続されます。この例外はAndroidのみに適用されます。
どうすればよいですか?ほとんどの人にとって、何もする必要はありません!私たちは証明書の発行を設定して、ほとんどの場合、ウェブサイトが適切に動作するようにし、幅広い互換性を優先しています。APIを提供する場合やIoTデバイスをサポートする必要がある場合は、次の2つのことを確認する必要があります。(1) APIのすべてのクライアントがISRG Root X1(DST Root CA X3だけでなく)を信頼する必要があり、(2) APIのクライアントがOpenSSLを使用している場合、バージョン1.1.0以降を使用する必要があります。OpenSSL 1.0.xでは、証明書検証の特殊性により、ISRG Root X1を信頼するクライアントでも、デフォルトで推奨しているAndroid互換の証明書チェーンが提示されると失敗します。
継続中のプロダクションチェーンの変更に関する追加情報が必要な場合は、コミュニティのスレッドをご覧ください。
今後の期限切れに関するご質問がある場合は、フォーラムのスレッドに投稿してください。