コラム

Let’s Encrypt証明書が独自ルートの提供を開始

 2020年9月29日に、ACMEを介して提供するデフォルトの中間証明書を変更します。
ほとんどの加入者は何もする必要はありませんが、非常に古いTLS / SSLクライアントを利用している利用者は、下位互換性を高めるために古い中間証明書を手動で構成する必要がある場合があります。
 Let’s Encryptがリリースされて以来、この証明書はIdenTrustという名前の別の認証局(CA)からの相互署名を介してブラウザーから信頼されています。Let’s Encryptのルートはまだ広く信頼されていなかったため、IdenTrustからの相互署名が必要でした。新しいCAが信頼できることを示すには時間がかかります。その後、ソフトウェアの更新を介して信頼できるステータスが伝達されるまでに時間がかかります。
Let’s EncryptのルートであるISRG Root X1は、サブスクライバーがクロスサインなしで直接ルートを使用するように移行したいブラウザーから広く信頼されています。
2020年9月29日、Let’s Encryptは、相互署名なしでルートに直接つながるACMEプロトコルを介して証明書チェーンの提供を開始します。ACMEクライアントがすべてを自動的に処理するため、ほとんどの利用者は何もする必要はありません。非常に古いTLS / SSLクライアントをサポートする必要がある利用者は、IdenTrustからの相互署名を引き続き使用するようにサーバーを手動で構成したい場合があります。テストサイトにアクセスして、特定のクライアントが新しい中間体で動作するかどうかをテストできます。

IdenTrustからの現在の相互署名は2021年3月17日に期限切れになります。相互署名されたIdenTrustルートは2021年9月30日に期限切れになります。翌年に、9月29日まで有効な新しい相互署名を取得します。これは、2021年9月29日まで、 IdenTrustを使用する証明書チェーンを手動で構成するオプションが利用者にあることを意味します。

Let’s Encryptなどの無料SSLの台頭により5年足らずで、Web上の暗号化されたページの読み込みの割合は、39%から78%に上昇しました。

ページ上部へ戻る