【コンピューター】　SSL証明書　－Let’s Encrypt－　有効期限切れ

目　次

この接続では……
SSL証明書
対応

この接続では……

　先月（2021年10月）から古いデバイス（ＰＣ、スマートフォン、タブレット）で当サイトにアクセスすると
　『この接続ではプライバシーが保護されません』
のメッセージが表示されて、アクセス・閲覧できなく（しにくく）なっているようです。

　確かに。

　併記されている
　NET::ERR_CERT_DATE_INVALID
のメッセージは、「時計が遅れています」、「時計が進んでいます」
だが、時計は正常。

　原因はSSL証明書の有効期限切れ。
　以前から言われていたことでもあるが、
　Let’s Encryptを使ってSSL化（http→https）しているサイトで発生している問題。
　無料SSLなので結構使われている。

　Let’s EncryptのＨＰ（letsencrypt.org/）も同様。

　URLに赤字でビックリマークと「保護されていない通信」の表示、さらにhttpsに打ち消し線が引かれている。

　画面下の「詳細設定」をクリックして、
　「……にアクセスする（安全ではありません）」をクリックすれば、
　アクセス・閲覧できるが、
　アクセスするなと言っているにほぼ等しい。

SSL証明書

　サイトSSL化（http→https）については以前少し書いている。

【コンピューター】　サイトSSL化

近年、URLがhttp://～ではなく、鍵マーク付https://～のサイトが増えている。当サイトも見直しの一環としてhttps://～へ移行させた。いわゆる常時SSL化（サイト全体をSSL化）と呼ばれる作業で……

　SSL化するとクライアント（ユーザー）－サーバー間の通信が暗号化されるので、より安全。
　ドメインmitsumatado.comは偽物（偽者）ではなく、ユーザーとの間に悪意ある第三者が入り込んで通信データが改竄されることもほぼない。
　絶対安全とまでは言えないが、個人情報を扱う商用サイト（ECサイト）の場合、サイトSSL化は必須。

　一口にSSL証明書と言っても

　ルート証明書
　中間証明書
　［SSL］サーバ証明書

がある。

　当サイトの場合、

　ISRG Root X1　・・・　ルート
　R3　・・・　中間
　mitsumatado.com　・・・　サーバ

という階層になっている。

　Let’s Encryptは、ISRG　Internet Security Research Groupという団体のSSLで、
　R3はISRGに認証され、
　mitsumatado.comはR3に認証されている。

　ブラウザのURLの鍵マークをクリックしていくと次々いろいろ情報が見られる。

　３つのうち中間証明書とサーバ証明書はサーバーに保存されている。

　サーバ証明書の有効期限は約３ヶ月と非常に短いが、最初の手続き以降何もいじっておらず、レンタルサーバーが自動的に更新してくれているので、特に問題は起こっていない。

　今回問題になっている有効期限切れはルート証明書。
　こちらはユーザーのデバイスにインストールされている。

　アクセスの際、デバイスのルート証明書とサーバーの証明書が照合されることで（TLSハンドシェイク）、
　暗号化（SSL）通信が可能になる。

　Let’s Encryptのルート証明書は、
　ISRGが認証局　CA　Certification Authorityとして発行しているISRG Root X1と
　それ以前からIdenTrust社が認証局として発行している（していた）DST Root CA X3
がある（あった）。

　ISRGはIdenTrust社よりも新しい認証局なので、
　　※　2014年設立、2016年Let’s Encrypt開始
　古いデバイスにはISRG Root X1がインストールされていない。
　　※　Windows XP以前、macOS 10以前、Android 7.1以前等々
　もう一方のDST Root CA X3はインストールされている。
　だが、2021年９月末で有効期限切れ。
　　※　ISRG Root X1の有効期限は2035年

　古いデバイスでも、使っているブラウザがFirefox（バージョン50以降）ならば、ISRG Root X1がインストールされているので、今までどおりアクセス・閲覧できるが、
　Chrome、Safariなどのブラウザにはインストールされていない。