HTTPS証明書の最大手プロバイダーの1つであるLet’s Encryptは、来週、古いルート証明書の使用を中止する。つまり、デバイスが壊れないようにアップグレードする必要があるかもしれないということだ。
Let’s Encryptは無料で利用できる非営利団体で、あなたのデバイスとより広いインターネットとの接続を暗号化する証明書を発行し、転送中のデータを誰にも傍受・盗用されないようにしている。Let’s Encryptを利用しているウェブサイトは数百万に上る。しかし、セキュリティ研究者のScott Helme(スコット・ヘルメ)氏が警告しているように、Let’s Encryptが現在使用しているルート証明書(IdentTrust DST Root CA X3)は、9月30日に期限切れを迎える。それ以降、コンピュータやデバイス、ブラウザなどのウェブクライアントは、この認証局(CA、Certificate Authority)が発行した証明書を信用しなくなる。
関連記事:HTTPSの証明書を無料で発行するLet’s Encryptが三歳の誕生日、これまで380Mの証明書を発行
大多数のウェブサイトユーザーにとっては、何も心配することはなく、9月30日はいつもと変わらない日となる。しかし、古いデバイスでは、5月にAddTrust External CA Rootの期限が切れたときのような問題が発生する可能性がある。その際には、Stripe(ストライプ)、Red Ha(レッドハット)、Roku(ロク)の3社で障害が発生した。
ヘルメ氏はブログ記事の中で、今度の期限切れについてこう警告している。「Let’s EncryptとAddTrustの相対的な規模の違いを考えると、IdenTrustのルートの期限切れは、より多くの問題を引き起こす可能性があると感じています」。
証明書の期限切れによって影響を受ける可能性が高いデバイスは、自動的にアップデートされないように設計されている組み込みシステムや、何年も前にリリースされたソフトウェアを実行しているスマートフォンなど、定期的にアップデートされないものだ。また、古いバージョンのmacOS 2016や、(Service Pack 3を適用している)Windows XPを使用しているユーザーは、OpenSSL 1.0.2以前に依存しているクライアントや、新しいファームウェアにアップグレードされていない古いPlayStationとともに、問題に直面する可能性が高い。
Let’s Encryptの言葉を借りれば、Androidには「従来からよく知られているOSアップデートに関する問題」があるが、同団体は、大多数のスマートフォンが期限切れの影響を受けないようにするための回避策を用意している。同団体は2021年、2035年まで期限が切れない独自のISRG Root X1証明書に移行した。Let’s Encryptは、この証明書を信用していないAndroid端末(Android Nougat 7.1.1以前のバージョン)が多い中、署名ルートよりも長い有効期間を持つ独自の証明書のクロス署名を取得したため、ほとんどのAndroidデバイスはあと3年は壊れないはずだ。
Let’s Encryptによると、一部のAndroid端末ではまだ問題が発生する可能性があり、Android(Lollipop)5.0を使用しているユーザーにはFirefoxのインストールを推奨している。
Let’s Encryptはこう説明している。「Android端末の内蔵ブラウザでは、信頼できるルート証明書のリストはOSから提供されていますが、これらの古い端末では古くなっています。しかし、Firefoxは現在、ブラウザの中でもユニークな存在で、独自の信頼できるルート証明書のリストを同梱しています」。
2014年の設立以来、9月初旬時点で20億以上の証明書を発行しているLet’s Encryptは、TechCrunchに対し、ユーザーは影響を受けたバージョンのOpenSSLや何年も前のOSを使用しているクライアントの数を調べるべきだと述べている。アップグレードできない人へのアドバイスとしては「新しいクロス署名で証明書チェーンを提供することが理にかなっているかどうかを検討してください」とのこと。
9月30日に何が起こるかを予測することは困難だが、ヘルメ氏は次のように述べている。「少なくとも、どこかで何かが壊れることになるでしょう」。
関連記事:あなたのプライバシーを守ってくれるウェブブラウザー拡張機能6選
画像クレジット:Getty Images
[原文へ]
(文:Carly Page、翻訳:Aya Nakazato)