【コンピューター】 SSL証明書 -Let’s Encrypt- 有効期限切れ

SITE

この接続では……

 先月(2021年10月)から古いデバイス(PC、スマートフォン、タブレット)で当サイトにアクセスすると
 『この接続ではプライバシーが保護されません』
のメッセージが表示されて、アクセス・閲覧できなく(しにくく)なっているようです。

 確かに。

 併記されている
 NET::ERR_CERT_DATE_INVALID
のメッセージは、「時計が遅れています」、「時計が進んでいます」
だが、時計は正常。

 原因はSSL証明書の有効期限切れ
 以前から言われていたことでもあるが、
 Let’s Encryptを使ってSSL化(http→https)しているサイトで発生している問題。
 無料SSLなので結構使われている。

 Let’s EncryptのHP(letsencrypt.org/)も同様。

 URLに赤字でビックリマークと「保護されていない通信」の表示、さらにhttpsに打ち消し線が引かれている。

 画面下の「詳細設定」をクリックして、
 「……にアクセスする(安全ではありません)」をクリックすれば、
 アクセス・閲覧できるが、
 アクセスするなと言っているにほぼ等しい。

SSL証明書

 サイトSSL化(http→https)については以前少し書いている。

 SSL化するとクライアント(ユーザー)-サーバー間の通信が暗号化されるので、より安全。
 ドメインmitsumatado.comは偽物(偽者)ではなく、ユーザーとの間に悪意ある第三者が入り込んで通信データが改竄されることもほぼない。
 絶対安全とまでは言えないが、個人情報を扱う商用サイト(ECサイト)の場合、サイトSSL化は必須。

 一口にSSL証明書と言っても

  •  ルート証明書
  •  中間証明書
  •  [SSL]サーバ証明書

がある。

 当サイトの場合、

  •  ISRG Root X1 ・・・ ルート
  •  R3 ・・・ 中間
  •  mitsumatado.com ・・・ サーバ

という階層になっている。

 Let’s Encryptは、ISRG Internet Security Research Groupという団体のSSLで、
 R3はISRGに認証され、
 mitsumatado.comはR3に認証されている。

 ブラウザのURLの鍵マークをクリックしていくと次々いろいろ情報が見られる。

 3つのうち中間証明書とサーバ証明書はサーバーに保存されている。

 サーバ証明書の有効期限は約3ヶ月と非常に短いが、最初の手続き以降何もいじっておらず、レンタルサーバーが自動的に更新してくれているので、特に問題は起こっていない。

 今回問題になっている有効期限切れはルート証明書。
 こちらはユーザーのデバイスにインストールされている。

 アクセスの際、デバイスのルート証明書とサーバーの証明書が照合されることで(TLSハンドシェイク)、
 暗号化(SSL)通信が可能になる。

 Let’s Encryptのルート証明書は、
 ISRGが認証局 CA Certification Authorityとして発行しているISRG Root X1
 それ以前からIdenTrust社が認証局として発行している(していた)DST Root CA X3
がある(あった)。

 ISRGはIdenTrust社よりも新しい認証局なので、
  ※ 2014年設立、2016年Let’s Encrypt開始
 古いデバイスにはISRG Root X1がインストールされていない。
  ※ Windows XP以前、macOS 10以前、Android 7.1以前等々
 もう一方のDST Root CA X3はインストールされている。
 だが、2021年9月末で有効期限切れ
  ※ ISRG Root X1の有効期限は2035年

 古いデバイスでも、使っているブラウザがFirefox(バージョン50以降)ならば、ISRG Root X1がインストールされているので、今までどおりアクセス・閲覧できるが、
 Chrome、Safariなどのブラウザにはインストールされていない。

対応

  1.  ユーザーが各自対応するか 
  2.  Chrome、Safariなどのブラウザが対応してくれるのを待つか
  3.  サーバーがLet’s Encrypt以外のSSL証明書に変更するか

 ユーザー皆が皆対応するというのは難しいと思うが、

  •  新しいOSへ移行するか
  •  ブラウザをFirefoxに変えるか
  •  ルート証明書 ISRG Root X1をインストールするか

 ISRG Root X1は、Let’s EncryptのHPからダウンロードしてインストールできる。

 Let’s Encrypt以外のSSLは有料SSLで、ドメイン維持費よりも高価なものが多い。
 さくらのSSL(ssl.sakura.ad.jp/) JPRSは手頃。

 Chrome、Safariなどのブラウザが対応してくれる(ISRG Root X1をインストールしてくれる)と助かるのだが……。

ふシゼン
タイトルとURLをコピーしました