パスワードを忘れた? アカウント作成
14263972 story
Android

Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 29

ストーリー by nagazou
キャリアサポートにしわ寄せ 部門より
バージョン7.1以前のAndroidを使用している端末で、無料SSL証明書で高いシェアを誇るLet's EncryptのSSL/TLS証明書を利用しているWebサイトが、2020年の9月29日以降見られなくなる可能性があるという(おそらくはそれさえも平凡な日々)。元記事によると、これはLet's Encrypt側によるルート証明書の切り替えが理由であるようだ(ISRGによる説明)。現在Let's Encryptは、IdenTrustのルート証明書(DST Root CA X3)をしている。このIdenTrustのルート証明書は、有効期限が2021年9月29日に迫っているという。

これをLet's Encryptの運営会社であるISRG (Internet Security Research Group)のものに切り替えようとしていることが理由だそう。当初の計画では7月8日に切り替えられる予定であったが、いったん9月29日に延期された(移行スケジュール変更のお知らせ)。7.1以前のバージョンのAndroidには、ISRGのルート証明書(入ったのはAndroid 7.1.1から)が入っていないことから、サイトが閲覧できなくなる端末が増える。ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。

切り替え後の9月29日以降はISRGのルート証明書が標準になる。暫定的な対策として、現行のIdenTrustのルート証明書のままサーバー証明書を発行できるオプションを用意する予定だとしている。とはいえ、IdenTrustの証明書の有効期限は2021年9月29日であるため、来年の同時期に完全にアウトということになるようだ。

ちなみにLet's Encryptが現在利用しているIdenTrustは、2019年5月28日時点でSSL証明書シェアが50%に到達しているという。また2020年2月27日、Let's Encryptは10億個目の証明書を発行したと発表している(マイナビISRG発表)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Y-taro (38255) on 2020年08月12日 8時53分 (#3868733)

    上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる [security.srad.jp]
    という話が以前にあった。
    使用すること自体は問題なかったと思うが、非対応環境が増えるとなると、話が変わってくる。
    「古い端末はFirefoxを使ってください」で済ましてよいのかどうか。
    サイト全体をHTTPS化する場合、その案内はどうやって利用者に伝えられるのだろうか。

    • by Anonymous Coward

      モッタイナイ文化はもはや時代遅れ。
      セキュリティリスクが常に顕在する今の世の中で古いものを使い続けるのは危険を伴う。
      IT弱者にはどう伝えても理解してもらえないので潔く切り捨てていく冷徹さが必要。

      • by Anonymous Coward

        電気や機械で環境汚染しまくりのIT企業が環境アピールをやたらしたがるのは口止め料みたいなもんですね

        • by Anonymous Coward

          今どきの企業なら皆環境アピールをやたらしたがるから、あかんIT企業かどうかは関係ないのでは。

      • by Anonymous Coward

        もちろんその理屈否定する気はないんだけど、あちこちのエンドポイントにバラまく用途や
        おっかなびっくりFOTAで更新する組み込み界隈だと慎重に調達するにしても難儀だろうなぁと思う。
        見積時点でカッチリ乗っけると乗っけてないところに負けるし (誰も幸せになにないパターン)

  • by Anonymous Coward on 2020年08月12日 8時29分 (#3868724)

    その頃の端末じゃ毎月のセキュリティパッチもこないし
    駆逐された方がいい

    ブートローダーアンロックで自前パッチしているXDA民は
    根強く更新続けるだろうけど
    実際のところは既にRAM不足で見切りつけるかって頃合いだし

    なんにせよ国内キャリアモデルは特にとっとと滅亡すべき
    もしくは電話機能のみのガラケー化で

  • by Anonymous Coward on 2020年08月12日 7時20分 (#3868693)

    Let's Encryptじゃなくて Let’s Encryptじゃないのかな。

    • by Anonymous Coward

      MSゴシックだと全角になって間抜けに見えるが最近のフォントだと問題ないな

  • by Anonymous Coward on 2020年08月12日 7時29分 (#3868695)

    証明書の更新や追加を案内すればいいではないか。
    まあ、手順はAndroidディストリビューション毎に違うかもしれないが。
    それともAndroid 7.1以前にはISRGのルート証明書を手動で追加できない問題でもあるのけ?

    • by Anonymous Coward

      そもそも可能なの? PCでもルート証明書の追加には管理者権限が必要だったような

      • by Anonymous Coward

        ISRG Root X1の証明書の追加は可能でした。
        あとWebだけならFirefoxはルート証明書を持っているので問題なしでした。

      • by Anonymous Coward

        そもそも製造元がアップデートをちゃんと配信しやがらないのが元凶。2016年以前のOSをアップデートもせずに使い続けてるんだぜ。

        なおWindowsの場合はWindows Updateで配信されるから普通気にしなくていい。
        macOSは知らないけどアップデートで配信されるんじゃね?
        Linuxは大抵パッケージになってるっしょ。

        • by Anonymous Coward

          っても Android でサポート可能な体制にしてもできて2~3年だと思うけど……
          デスクトップOSだって長くて5年がいいとこだし、それ以上は別料金になるし。
          特に Android はハードウェアスペック的に追いつけなくなることも多いから余計に厳しい。
          (最近は2年のアップデートが主流になっているようだけど)

          • by Anonymous Coward

            デスクトップOSだって長くて5年がいいとこだし、それ以上は別料金になるし。

            これはマカーの幻想。ハードウェアの点では今はパソコンの性能上昇が遅いので10年前でも使える。ソフトウェアの点では、WindowsもUbuntuもプリインストールされているOSに依らずアップデートできる。

            • by Anonymous Coward

              会社PCが5年前のパソコンにWindows 10入れてあるものだけど、スペック的にかなり苦しいぞ。
              起動してまともに使えるようになるのに10分以上かかる(会社特有のシステムの起動やTeamsがメモリバカ食いするのもあるけど)

              あと一定程度古いマイクロアーキテクチャはサポート放棄されてドライバ提供されなくなるから
              いつまでも使い続けられるかはわからない(少なくとも9年前に出たSandy Bridgeはサポートされていないので工夫がいる)

              • by Anonymous Coward

                会社のPCが5年どころか7年前のPCですけど、CPUはCore i5でそのままHDDをSSDに変え
                メモリを増設した上でWindows7から10に上げたら至極快適になりましたよ。起動なんてほんと15秒くらい。
                正直Win10で動作が重いのなら、5年前のWin7の頃から遅くて使えないPCだったと思う。

              • by Anonymous Coward

                Core2Quad の PC を使ってますが,まともに使えるまで 10 分以上かかる,なんてことないですよ.
                ドライバで困ったってことも特にないです.

              • by Anonymous Coward

                10年前に買ったSandy Bridge i7なデスクトップ、Arrandale i5なノートがどちらも現役だけど、SSDに換装してメモリ増設すれば十分に使えるぞ
                購入時のままのWin 7でも問題なかったし、Win 10も特に工夫なくインストール、稼働している

                「起動してまともに使えるようになるのに10分」とか、5年前に購入したままメモリ4GBなんてオチなんじゃないの?

              • by Anonymous Coward

                4GBだったらいいですね(遠い目)

                2015年ごろの据え置き用ノートPC(Windows8.1 32bit想定)(解像度1366x768)だとつるし設定でRAM2GBも多かったはず

    • by Anonymous Coward

      きみの想像を絶するであろう素人の方々に案内が届いて理解してもらうところに第一関門。
      そして追加の操作をさせるところに第二関門。

      • by Anonymous Coward

        それもあるしまずどうやって「信頼できる」案内及び証明書を入手するのかという問題が
        案内が届いたと思ったら偽物で偽のルート証明書をインストールさせられフィッシングサイトに誘導されたら誰が責任を取るんだという話

        • by Anonymous Coward

          そんな心配は、あんまりしなくていいかと思うよ

          そんなことをする理由を考えると
          個人的な恨みだと、どうしようもないし、
          愉快犯だと、金銭的な被害まではないだろうし、
          詐欺だと、儲からないとやらないから、偽のルート証明書からが操作が長すぎるし、
          そんな書いてることをすんなりしてくれるのなら、変なアプリでもインストールさせるか、ATM操作させた方がいい。

      • by Anonymous Coward

        重要な更新があるのでショップに来てね
        でおしまいだわ
        ついでにお菓子でもあげて新機種乗り換えの勧誘もやればいい

    • by Anonymous Coward

      PlayストアとかGoogle Play開発者サービス側でシステムの証明書を自動更新出来ないのかな
      やたらとHTTPSサイトを贔屓してブログとかまで無駄にLet's EncryptでHTTPS化するように仕向けたGoogleには、そのくらいの手間は負ってもらってもいいはず

      • by Anonymous Coward

        やったらやったでアンチ自動更新派からボコボコに叩かれるのでは。

        • by Anonymous Coward

          許諾求めて、更新したと報告すりゃ問題ない。

  • by Anonymous Coward on 2020年08月12日 7時56分 (#3868704)

    > on version 7.1 or above, which includes ISRG’s root.
    バージョン7.1「またはより後=7.1を含む」はISRGルートを含む。

    > Let’s Encrypt certificates won’t work on Android devices older than 7.1
    Let's Encrypt証明書は7.1「より古い=7.1を含まない」Androidデバイスで使えない。

  • by Anonymous Coward on 2020年08月12日 13時04分 (#3868885)

    7.1のリリース日は2016年10月4日なので、そんなに古くないな。

  • by Anonymous Coward on 2020年08月12日 19時24分 (#3869196)

    Comodo (今はSectigo) とかDigicertとかに頼んでクロスルート署名とかしてもらったらどうなんだろうか。
    例えば、ComodoのAAA Certificate Servicesとかと署名すれば2029年くらいまで延命できるはず。

    まあ、どちらも商用CAだし、クロスルートを申請しても、
    「無料の証明書が広がるとうちの利益が減るから、署名したくない!」(実際はこんなこと言われないと思うけど)
    みたいな感じで拒否されるのかな。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...