お客様各位
いつも CDNext をご利用いただきありがとうございます。
CDNext で Let's EncryptのSSL証明書を現在ご利用中、
または今後ご利用予定のお客様に向けたご案内となります。
※2021/1/25 追記
昨年、Let's EncryptのSSL証明書において2021年9月30日をもって
古い端末(Android 7.1以前等)には対応しなくなるとご案内させて頂きましたが、
昨年末にLet's Encryptより、上記期限以降も継続して古い端末で利用可能となる対応を
実施する旨の発表がありました。
これにより、CDNextにおきましても2024年初旬まで古い端末にも
Let'sEncryptの証明書が利用可能となりました。
今後の対応につきましては、再度更新のタイミングでお知らせいたします。
■概要
CDNextでは無償かつ自動的にLet's Encryptのサーバー証明書を利用できる機能を提供しております。
Let's Encryptが発行するルート認証局の署名の構成を変更することを予定しており、
発行されるサーバー証明書に仕様の変更が生じますので、その仕様の変更と、
CDNextとしての対応についてお知らせいたします。
■背景とルート認証局の構成変更の経緯
Let's Encrypt では、「ISRG Root X1」(Let's Encrypt)と「DST Root X3」(Identrust社)の
2つのルート証明書を利用したクロス署名の中間CA証明書を利用しています。
これは、より多くのデバイスをサポートをすることを目的として構成されていたものです。
しかし、「DST Root X3」は2021年9月30日をもってルート証明書としての有効期限切れとなります。
それに先だち、Let's Encryptでは2020年9月27日以降、デフォルトで発行するサーバー証明書は、
「ISRG Root X1」のみで署名された中間CA証明書を用いたものとなります。
しかしオプションで2020年9月27日以降も従来のクロス署名による中間CA証明書を用いた
サーバー証明書の発行をすることも可能となっています。
■サーバー証明書の仕様変更と具体的な影響
「ISRG Root X1」のみで署名された中間CA証明書を用いたサーバー証明書では、
「ISRG Root X1」がデフォルトでインストールされていない古い端末では証明書の検証が失敗し
証明書エラーとなり、HTTPS通信が行えなくなります。
現在明らかにされているものとしては具体的な影響の範囲としては
公式には「Android 7.1以前」では影響を受けるとされています。
それ以外の影響につきましては情報更新されましたら追ってお知らせいたします。
■CDNextの対応
CDNextでは、先述のオプションを利用し2020年9月27日以降も当面の間は今までと変わらない
クロス署名された中間CA証明書によるサーバー証明書を取得いたします。
Let's Encryptので発行されるサーバー証明書の有効期限は3ヶ月ですので、
「DST Root X3」の有効期限の3ヶ月前の2021年6月末頃までがクロス署名中間CAを用いた
サーバー証明書発行の期限と予定しております。
それ以降は、「ISRG Root X1」のみの中間CA証明書でのサーバー証明書発行となる予定です。
■ご確認のお願い
CDNextでのLet's EncryptのSSL証明書発行機能をご利用のお客様で
本仕様変更により影響を受ける古い端末(Android 7.1以前等)からのHTTPS 通信を
2021年6月頃以降も継続的にサポートする必要がある場合は、
それまでに別の認証局によるSSL証明書の導入・差し替えをいただく必要がございますので
ご確認の上ご検討のほどよろしくお願いいたします。
上記について問題ない場合には、特にお客様側にご対応頂く作業はございません。
本件の詳細につきましては、Let's Encrypt の下記ページなどをご参照いただけますと幸いです。
▼Transitioning to ISRG's Root
https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html
ご不明な点がございましたらお問い合わせフォームよりご連絡ください。
以上、どうぞよろしくお願い致します。