Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 29
ストーリー by nagazou
キャリアサポートにしわ寄せ 部門より
キャリアサポートにしわ寄せ 部門より
バージョン7.1以前のAndroidを使用している端末で、無料SSL証明書で高いシェアを誇るLet's EncryptのSSL/TLS証明書を利用しているWebサイトが、2020年の9月29日以降見られなくなる可能性があるという(おそらくはそれさえも平凡な日々)。元記事によると、これはLet's Encrypt側によるルート証明書の切り替えが理由であるようだ(ISRGによる説明)。現在Let's Encryptは、IdenTrustのルート証明書(DST Root CA X3)をしている。このIdenTrustのルート証明書は、有効期限が2021年9月29日に迫っているという。
これをLet's Encryptの運営会社であるISRG (Internet Security Research Group)のものに切り替えようとしていることが理由だそう。当初の計画では7月8日に切り替えられる予定であったが、いったん9月29日に延期された(移行スケジュール変更のお知らせ)。7.1以前のバージョンのAndroidには、ISRGのルート証明書(入ったのはAndroid 7.1.1から)が入っていないことから、サイトが閲覧できなくなる端末が増える。ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。
切り替え後の9月29日以降はISRGのルート証明書が標準になる。暫定的な対策として、現行のIdenTrustのルート証明書のままサーバー証明書を発行できるオプションを用意する予定だとしている。とはいえ、IdenTrustの証明書の有効期限は2021年9月29日であるため、来年の同時期に完全にアウトということになるようだ。
ちなみにLet's Encryptが現在利用しているIdenTrustは、2019年5月28日時点でSSL証明書シェアが50%に到達しているという。また2020年2月27日、Let's Encryptは10億個目の証明書を発行したと発表している(マイナビ、ISRG発表)。
これをLet's Encryptの運営会社であるISRG (Internet Security Research Group)のものに切り替えようとしていることが理由だそう。当初の計画では7月8日に切り替えられる予定であったが、いったん9月29日に延期された(移行スケジュール変更のお知らせ)。7.1以前のバージョンのAndroidには、ISRGのルート証明書(入ったのはAndroid 7.1.1から)が入っていないことから、サイトが閲覧できなくなる端末が増える。ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。
切り替え後の9月29日以降はISRGのルート証明書が標準になる。暫定的な対策として、現行のIdenTrustのルート証明書のままサーバー証明書を発行できるオプションを用意する予定だとしている。とはいえ、IdenTrustの証明書の有効期限は2021年9月29日であるため、来年の同時期に完全にアウトということになるようだ。
ちなみにLet's Encryptが現在利用しているIdenTrustは、2019年5月28日時点でSSL証明書シェアが50%に到達しているという。また2020年2月27日、Let's Encryptは10億個目の証明書を発行したと発表している(マイナビ、ISRG発表)。
公共サイトでの使用 (スコア:4, 興味深い)
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる [security.srad.jp]
という話が以前にあった。
使用すること自体は問題なかったと思うが、非対応環境が増えるとなると、話が変わってくる。
「古い端末はFirefoxを使ってください」で済ましてよいのかどうか。
サイト全体をHTTPS化する場合、その案内はどうやって利用者に伝えられるのだろうか。
Re: (スコア:0)
モッタイナイ文化はもはや時代遅れ。
セキュリティリスクが常に顕在する今の世の中で古いものを使い続けるのは危険を伴う。
IT弱者にはどう伝えても理解してもらえないので潔く切り捨てていく冷徹さが必要。
Re: (スコア:0)
電気や機械で環境汚染しまくりのIT企業が環境アピールをやたらしたがるのは口止め料みたいなもんですね
Re: (スコア:0)
今どきの企業なら皆環境アピールをやたらしたがるから、あかんIT企業かどうかは関係ないのでは。
Re: (スコア:0)
もちろんその理屈否定する気はないんだけど、あちこちのエンドポイントにバラまく用途や
おっかなびっくりFOTAで更新する組み込み界隈だと慎重に調達するにしても難儀だろうなぁと思う。
見積時点でカッチリ乗っけると乗っけてないところに負けるし (誰も幸せになにないパターン)
めでたい (スコア:1)
その頃の端末じゃ毎月のセキュリティパッチもこないし
駆逐された方がいい
ブートローダーアンロックで自前パッチしているXDA民は
根強く更新続けるだろうけど
実際のところは既にRAM不足で見切りつけるかって頃合いだし
なんにせよ国内キャリアモデルは特にとっとと滅亡すべき
もしくは電話機能のみのガラケー化で
アポストロフィ (スコア:0)
Let's Encryptじゃなくて Let’s Encryptじゃないのかな。
Re: (スコア:0)
MSゴシックだと全角になって間抜けに見えるが最近のフォントだと問題ないな
端末側の証明書を更新すれば? (スコア:0)
証明書の更新や追加を案内すればいいではないか。
まあ、手順はAndroidディストリビューション毎に違うかもしれないが。
それともAndroid 7.1以前にはISRGのルート証明書を手動で追加できない問題でもあるのけ?
Re: (スコア:0)
そもそも可能なの? PCでもルート証明書の追加には管理者権限が必要だったような
Re: (スコア:0)
ISRG Root X1の証明書の追加は可能でした。
あとWebだけならFirefoxはルート証明書を持っているので問題なしでした。
Re: (スコア:0)
そもそも製造元がアップデートをちゃんと配信しやがらないのが元凶。2016年以前のOSをアップデートもせずに使い続けてるんだぜ。
なおWindowsの場合はWindows Updateで配信されるから普通気にしなくていい。
macOSは知らないけどアップデートで配信されるんじゃね?
Linuxは大抵パッケージになってるっしょ。
Re: (スコア:0)
っても Android でサポート可能な体制にしてもできて2~3年だと思うけど……
デスクトップOSだって長くて5年がいいとこだし、それ以上は別料金になるし。
特に Android はハードウェアスペック的に追いつけなくなることも多いから余計に厳しい。
(最近は2年のアップデートが主流になっているようだけど)
Re: (スコア:0)
デスクトップOSだって長くて5年がいいとこだし、それ以上は別料金になるし。
これはマカーの幻想。ハードウェアの点では今はパソコンの性能上昇が遅いので10年前でも使える。ソフトウェアの点では、WindowsもUbuntuもプリインストールされているOSに依らずアップデートできる。
Re: (スコア:0)
会社PCが5年前のパソコンにWindows 10入れてあるものだけど、スペック的にかなり苦しいぞ。
起動してまともに使えるようになるのに10分以上かかる(会社特有のシステムの起動やTeamsがメモリバカ食いするのもあるけど)
あと一定程度古いマイクロアーキテクチャはサポート放棄されてドライバ提供されなくなるから
いつまでも使い続けられるかはわからない(少なくとも9年前に出たSandy Bridgeはサポートされていないので工夫がいる)
Re: (スコア:0)
会社のPCが5年どころか7年前のPCですけど、CPUはCore i5でそのままHDDをSSDに変え
メモリを増設した上でWindows7から10に上げたら至極快適になりましたよ。起動なんてほんと15秒くらい。
正直Win10で動作が重いのなら、5年前のWin7の頃から遅くて使えないPCだったと思う。
Re: (スコア:0)
Core2Quad の PC を使ってますが,まともに使えるまで 10 分以上かかる,なんてことないですよ.
ドライバで困ったってことも特にないです.
Re: (スコア:0)
10年前に買ったSandy Bridge i7なデスクトップ、Arrandale i5なノートがどちらも現役だけど、SSDに換装してメモリ増設すれば十分に使えるぞ
購入時のままのWin 7でも問題なかったし、Win 10も特に工夫なくインストール、稼働している
「起動してまともに使えるようになるのに10分」とか、5年前に購入したままメモリ4GBなんてオチなんじゃないの?
Re: (スコア:0)
4GBだったらいいですね(遠い目)
2015年ごろの据え置き用ノートPC(Windows8.1 32bit想定)(解像度1366x768)だとつるし設定でRAM2GBも多かったはず
Re: (スコア:0)
きみの想像を絶するであろう素人の方々に案内が届いて理解してもらうところに第一関門。
そして追加の操作をさせるところに第二関門。
Re: (スコア:0)
それもあるしまずどうやって「信頼できる」案内及び証明書を入手するのかという問題が
案内が届いたと思ったら偽物で偽のルート証明書をインストールさせられフィッシングサイトに誘導されたら誰が責任を取るんだという話
Re: (スコア:0)
そんな心配は、あんまりしなくていいかと思うよ
そんなことをする理由を考えると
個人的な恨みだと、どうしようもないし、
愉快犯だと、金銭的な被害まではないだろうし、
詐欺だと、儲からないとやらないから、偽のルート証明書からが操作が長すぎるし、
そんな書いてることをすんなりしてくれるのなら、変なアプリでもインストールさせるか、ATM操作させた方がいい。
Re: (スコア:0)
重要な更新があるのでショップに来てね
でおしまいだわ
ついでにお菓子でもあげて新機種乗り換えの勧誘もやればいい
Re: (スコア:0)
PlayストアとかGoogle Play開発者サービス側でシステムの証明書を自動更新出来ないのかな
やたらとHTTPSサイトを贔屓してブログとかまで無駄にLet's EncryptでHTTPS化するように仕向けたGoogleには、そのくらいの手間は負ってもらってもいいはず
Re: (スコア:0)
やったらやったでアンチ自動更新派からボコボコに叩かれるのでは。
Re: (スコア:0)
許諾求めて、更新したと報告すりゃ問題ない。
証明書が入ったのは7.1から(7.1.1ではなく) (スコア:0)
> on version 7.1 or above, which includes ISRG’s root.
バージョン7.1「またはより後=7.1を含む」はISRGルートを含む。
> Let’s Encrypt certificates won’t work on Android devices older than 7.1
Let's Encrypt証明書は7.1「より古い=7.1を含まない」Androidデバイスで使えない。
7.1のリリース日 (スコア:0)
7.1のリリース日は2016年10月4日なので、そんなに古くないな。
クロスルート (スコア:0)
Comodo (今はSectigo) とかDigicertとかに頼んでクロスルート署名とかしてもらったらどうなんだろうか。
例えば、ComodoのAAA Certificate Servicesとかと署名すれば2029年くらいまで延命できるはず。
まあ、どちらも商用CAだし、クロスルートを申請しても、
「無料の証明書が広がるとうちの利益が減るから、署名したくない!」(実際はこんなこと言われないと思うけど)
みたいな感じで拒否されるのかな。