MENU

無料相談

  1. HOME
  2.  > 
  3. サイト職人スタッフブログ
  4.  > 
  5. Android7.1以前の端末で一部のWebサイトが見られなくなる?Let’s Encryptのルート証明書が変更

サイト職人スタッフブログ

Android7.1以前の端末で一部のWebサイトが見られなくなる?Let’s Encryptのルート証明書が変更

Android7.1以前の端末で一部のWebサイトが見られなくなる?Let's Encryptのルート証明書が変更無料のSSL証明書として高いシェアを誇る「Let’s Encrypt」をご存じですか?無料のため利用者は増え続けていますが、Let’s Encryptのルート証明書が2021年9月末に切り替わるため、Android7.1以前の端末でLet’s Encryptのルート証明書が使われているWebサイトが今月末、2020年9月29日以降に見られなくなる可能性があります。

 

今回は、Let’s Encryptのルート証明書とは、いったいどのようなものなのか、ルート証明書変更による影響や変更後の対応についてわかりやすく解説していきます。

 

Let’s Encryptのルート証明書とは

ルート証明書とは、認証局が発行している電子証明書のことです。一般的には、Webサイトへのアクセスの際に利用されており、パソコンやスマートフォン、タブレットなどに最初からインストールされています。

 

Webサイトへアクセスするには、中間CA証明書とサーバー証明書の認証を受ける必要があります。ルート証明書によってサーバーとドメインが同一のものであると保証されれば一定のセキュリティが維持されます。
しかし、悪意のある第三者が不正なルート証明書をインストールしてしまった場合、安全性が担保されなくなります。

 

Let’s Encryptは、非営利団体のISRGによって2014年に設立された比較的新しい認証局です。
設立当初は、ISRGのルート証明書はさまざまな端末にインストールされていなかったため、別の認証局(Iden Trust)が管理する「DST Root X3」と呼ばれるルート証明書を利用していました。

 

ここで問題となるのが、Iden Trustのルート証明書の有効期限です。Iden Trustのルート証明書は、2021年9月29日までしか有効期限が定められていないため、それ以降は利用できなくなってしまいます。

 

そのため、この有効期限をきっかけに、ISRGのLet’s Encryptへ切り替えることを呼びかけています。

 

ルート証明書の変更による影響

ルート証明書を変更すると、新しいルート証明書がインストールされていない、またはインストールできない端末を利用している人が大きな影響を受けてしまいます。具体的には、7.1以前のAndroidには、ISRGのルート証明書が入っていないため、Webサイトを閲覧できなくなる可能性があります。

 

7.1.1以降のAndroidユーザの割合は66%程度で、残りのユーザはWebサイトが閲覧できないといった影響を受けます。しかし、7.1以前のAndroidでも、これまで通りWebサイトを表示したいと考える方もいるでしょう。

 

Android7.1以前の端末でWebサイトを表示する場合は、サーバー管理者側が特定の端末に対応する他のSSL証明書へと変更してください。一方で、すでにISRG Root X1のルート証明書がインストールされている端末は、特に大きな影響を受けることはありません。

 

ルート証明書の有効期限への考え方

変更後の2021年9月29日以降は、ISRGのルート証明書の利用が標準的なものとなっているでしょう。Let’s Encryptでは今月、2020年9月までに新規の中間CA証明書の発行を検討しているとのことです。

 

新しく中間CA証明書が発行されるということは、現在のルート証明書のDST Root X3が利用できなくなると考える方もいるでしょう。しかし、DST Root X3は、継続した利用ができます。ただし、2021年9月30日までが有効期限となっているため注意してください。

 

2021年9月30日以降は、DST Root X3が利用できなくなります。

 

ルート証明書が利用できない!では、どうすれば?

ルート証明書の有効期限が迫っていると知り、「結局、私たちは、何をすればよいの?」と思っている方もいるでしょう。難しい話抜きにして、どうすれば良いのか順番に解説していきます。

 

個人サイトであれば、Android7.1以前のサポートを切るという方法も有効な選択肢のひとつです。しかし、多くの場合は、次の流れとなるでしょう。

 

まずは、2020年9月29日以降に新しいルート証明書でサーバー証明書が作成されないように設定してください。この際、利用しているクライアントの対応状況もチェックしておきましょう。

 

そして、2021年9月29までに、自社サービスのクライアント割合を確認しながら移行プランを考えていきます。その際、このままLet’s Encryptの利用を継続するのか、CAを乗り換える必要性があるのかについて考えるべきでしょう。

 

ルート証明書の切り替え

9月29日以降、Let’s Encryptを介してサーバー証明書を発行した場合、Android7.1以前の端末では、Webサイトが閲覧できなくなります。

 

しかし、現在のIdenTrustのルート証明書のままサーバー証明書を発行できるオプションを利用すれば、ルート証明書をIdenTrustのものに指定できるため、“Webサイトが閲覧できない”という状況を避けられます。どちらにしても、2021年9月29日までに移行プランを考える必要があるため、社内で話し合いましょう。

 

まとめ

IdenTrustのルート証明書の有効期限は、2021年9月29日です。この有効期限に到達すると、Webサイトが閲覧できないといった不都合が生じる可能性があります。そのような状況に陥らないためにも、具体的な移行プランを検討していきましょう。

PAGETOP