2020年9月29日以降を目処にLet’s Encryptの使用しているルート証明書が「ISGR Root X1」へ切り替わることが予定されています。
これにより、一部の古いブラウザや端末においてLets’ Encrypによって発行されたSSL証明書を使用したSSLサイトへの接続が正常にできなくなる可能性があります。
妖狐鯖においても一部サービスにおいてLet’s EncryptのSSL証明書を使用しているため、この影響を受けることとなります。
影響がある範囲
妖狐鯖においてLet’s Encryptによって発行されたSSL証明書を使用しているサービスは以下の通りです。
- Webサービス(ただし foxmaster.jp および www.foxmaster.jp は除く)
- メールサービス(外部からのSMTP受信およびクライアントからの接続時)
影響を受けないブラウザおよび端末
以下のブラウザおよび端末については、ISRG Root X1 ルート証明書がインストールされているため影響を受けません。
- Mozilla Firefox 50以降
(※独自でルート証明書情報を持つため端末に依存しない) - Microsoft Windows 7以降
- Macintosh macOS 10.12.1以降
- Android OS 8.1以降
- iPhone OS7以降
また、Linux(CentOS等)については /etc/pki/tls/certs/ca-bundle.crt (またはそのリンク先)が2017年以降の更新日になっており、”ISRG Root X1″の証明書情報が含まれていれば影響ありません。
影響を受ける場合の挙動
ISRG Root X1 ルート証明書がインストールされていない端末では、接続時にエラー(ERR_CERT_AUTHORITY_INVALID)が発生します。
POP3sやIMAPsによる接続は出来なくなると思われます。(未検証)
影響を受ける場合の回避策
Let’s Encryptにて配布されているISRG Root X1ルート証明書を個別にインストールすることで接続エラーの発生自体を回避することができます。
一般的なブラウザの場合はエラーを無視して続行することが可能です。
また、Mozilla Firefox 50以降であればブラウザ内にISRG Root X1ルート証明書を持っているため影響を受けません。
参考文献
- 2021年にLet’s Encryptのルート証明書が変更!影響や備えておくべきこととは?(さくらのSSL)
- Android7.1以前でLet’s Encrypt証明書のサイトが見られなくなる(おそらくはそれさえも平凡な日々)
- Let’s Encrypt のルート証明書がISRG Root X1に変わると何が起きるか(DISPATCH BASE)