Let’s Encryptのルート証明書変更にかかる妖狐鯖への影響について

2020年9月29日以降を目処にLet’s Encryptの使用しているルート証明書が「ISGR Root X1」へ切り替わることが予定されています。
これにより、一部の古いブラウザや端末においてLets’ Encrypによって発行されたSSL証明書を使用したSSLサイトへの接続が正常にできなくなる可能性があります。
妖狐鯖においても一部サービスにおいてLet’s EncryptのSSL証明書を使用しているため、この影響を受けることとなります。

影響がある範囲

妖狐鯖においてLet’s Encryptによって発行されたSSL証明書を使用しているサービスは以下の通りです。

  • Webサービス(ただし foxmaster.jp および www.foxmaster.jp は除く)
  • メールサービス(外部からのSMTP受信およびクライアントからの接続時)

影響を受けないブラウザおよび端末

以下のブラウザおよび端末については、ISRG Root X1 ルート証明書がインストールされているため影響を受けません。

  • Mozilla Firefox 50以降
    (※独自でルート証明書情報を持つため端末に依存しない)
  • Microsoft Windows 7以降
  • Macintosh macOS 10.12.1以降
  • Android OS 8.1以降
  • iPhone OS7以降

また、Linux(CentOS等)については /etc/pki/tls/certs/ca-bundle.crt (またはそのリンク先)が2017年以降の更新日になっており、”ISRG Root X1″の証明書情報が含まれていれば影響ありません。

影響を受ける場合の挙動

ISRG Root X1 ルート証明書がインストールされていない端末では、接続時にエラー(ERR_CERT_AUTHORITY_INVALID)が発生します。

POP3sやIMAPsによる接続は出来なくなると思われます。(未検証)

影響を受ける場合の回避策

Let’s Encryptにて配布されているISRG Root X1ルート証明書を個別にインストールすることで接続エラーの発生自体を回避することができます。

一般的なブラウザの場合はエラーを無視して続行することが可能です。
また、Mozilla Firefox 50以降であればブラウザ内にISRG Root X1ルート証明書を持っているため影響を受けません。

参考文献