Tutorials Brawte nfaq 0 Comments

Let's Encryptは、来年からAndroidデバイスの約3分の1が同社の証明書を使用するサイトに遭遇すると警告している。

Table of Contents

Let's Encryptは、来年からAndroidデバイスの約3分の1が同社の証明書を使用するサイトに遭遇すると警告している。

約2億2000万のドメインの「HTTPS」に「S」を追加する認証局(CA)である更新版Let's Encryptは、古いAndroidデバイスのユーザーに対し、来年にはウェブサーフィンが途切れる可能性があると警告した。

Let's Encryptは4年前、安全なウェブサイトの構築を容易にするために立ち上げられました。Let's Encryptのデジタル証明書が受け入れられるためには、様々なソフトウェアやブラウザメーカーとの信頼関係が不可欠ですが、Let's EncryptはIdenTrustのDST Root X3証明書を利用しました。その結果、この非営利団体の証明書はウェブサイトで提示され、主要なウェブブラウザすべてから信頼され、安全に接続できるようになりました。

Internet Security Research Group(ISRG)の監督下にあるこの認証局は、その後、独自のルート証明書(ISRG Root X1)を発行し、主要なソフトウェアプラットフォームへの信頼を申請しました。2018年7月までに、ISRG Root X1はMicrosoft、Google、Apple、Mozilla、Oracle、Blackberryに承認され、Let's Encryptの信頼性を保証するためにIdenTrustのDST Root X3を使用する必要はなくなりました。

来年2021年9月1日、Let's Encryptが当初クロス署名に使用していたDST Root X3証明書の有効期限が切れます。過去4年間にX1ルート証明書を信頼するように更新されていないデバイスは、ウェブサイトに安全に接続できなくなる可能性があります。少なくともエラーメッセージが表示されるでしょう。Androidの皆さん、お気をつけて。

「2016年(当社のルートが多くのルートプログラムに受け入れられた頃)から更新されていない一部のソフトウェアは、依然として当社のルート証明書であるISRG Root X1を信頼していません」と、Let's Encryptの主任開発者であり、電子フロンティア財団のシニアスタッフテクノロジストであるジェイコブ・ホフマン=アンドリュースは金曜日の通知で説明した。

「特に注目すべきは、Android 7.1.1より前のバージョンがこれに該当することです。つまり、これらの古いバージョンのAndroidは、Let's Encryptが発行する証明書を信頼しなくなります。」

ホフマン=アンドリュース氏によると、この信頼の喪失は、現在稼働しているAndroidデバイスの約3分の1に影響を与えるという。25億人以上のアクティブAndroidユーザーを抱えるこの国では、その影響は目に見えて明らかだが、それほど大きくはないだろう。というのも、これらの老朽化したAndroidデバイスは、インターネットトラフィックのわずか1~5%を占めているに過ぎないからだ。それでも、言及する価値はあるだろう。

米国の警察官

暗号化された携帯電話のロックを解除できるのはFBIだけだと思っていた?アメリカの警察官なら誰でもできる

続きを読む

ホフマン=アンドリュース氏が指摘するように、Androidエコシステムは長らく、GoogleのモバイルハードウェアパートナーにAndroidデバイスへのソフトウェアアップデートをプッシュしてもらうのに苦労しており、特に数年経つとそれが顕著になる。そして、それは今も変わらない。

残念ながら、ホフマン=アンドリュース氏は、Androidハードウェアパートナーがデバイスをアップデートすることを確実にするためにできることはあまりないと述べている。さらに、全員に新しいスマートフォンを購入するのは現実的な選択肢ではないと付け加えた。

影響を受けるAndroidユーザーが実行できる有意義な対策の一つは、Firefoxを使用することです。Firefoxには独自の信頼されたルート証明書リストが付属しており、ISRG Root X1証明書を認識するはずです。また、必要な証明書を手動でデバイスにインストールすることも可能です。また、Googleが古いAndroidデバイス上のChromeを更新し、証明書を組み込む可能性も考えられます。

ホフマン=アンドリュース氏によると、Let's Encryptは2021年1月11日よりAPIを変更し、Certbotなどの自動証明書管理環境(ACME)クライアントがデフォルトでISRG Root X1を指す証明書チェーンを提供できるようにするとのことです。ただし、互換性を確保するため、古いDST Root X3証明書に紐付けられた代替リンク関係を設定するオプションは維持される予定です。

ホスティング プロバイダーから Let's Encrypt 証明書を取得している場合は、提示されたルート証明書に問題がある場合はプロバイダーに連絡することをお勧めします。®

2021年1月4日追記更新

12月末、Let's Encryptの広報担当者は、同プロジェクトが古いAndroid機器に関して「これらのデバイスとの非互換性を防ぎ、市場から廃れるまでの時間を延ばす新しい証明書チェーンを開発した」と連絡を取った。

詳細はこちらをご覧ください。

Tutorials

Smart Recommendations

Discover More