SSL証明書と「DST Root CA」期限切れ問題
- (2021-10-16 09:02:45)
「DSTルートCA X3」の期限が切れた
ルート証明書 IdentTrust「DST Root CA X3」の有効期限は2021年9月30日だったらしい。
「DST Root CA」に代わるもっとも一般的なルート証明書はたぶん「ISRG Root X1」だが、古いPCやスマホにはこれがインストールされていないものが多い。
ISRGは無料のhttps化 (Let's Encrypt) を提供する世界最大の非営利の認証機関。
Win 証明書の確認方法
「Win+R」 → 「inetcpl.cpl」 → 「コンテンツ」 →
「証明書」 → 「信頼されたルート証明機関」 → DST RootやISRG Rootが確認できる
DST Root に代わる ISRG Root
2017年以降のPCやスマホはおおむね、デバイスの出荷時からISRG Rootがインストールされている可能性が高いとのこと。
だから最近のデバイスでは問題ないが、ルートCAが、DST Root のままのブラウザではLet's Encryptにて、https化しているWebサーバはエラーとなる。
対策
そんなPCやスマホを持っている人がやれる対策は
(1) 自分で ISRG Root X1 証明書をインストール
(2) 他のPCから ISRG Root X1 をエクスポート&インポート
(3) セキュリティソフトを導入する
(4) ブラウザは Firefox を使う
(1) ISRG Root X1 証明書インストール
検索するとそういうアドバイスをしているページがでてくる。
デジタル証明書の話は複雑でよくわからない。証明書のインストール? 知らないサイトからダウンロードすること自体、信用できるのか、なんかありそうで怖い。
これは純粋に、よく知らないという状況ゆえの誤解かも知れないが、よくわからず、かつ差し迫っていなければ、あえてリスクをとる必要はないという理由で私ならしない。
(2) 他のPCから ISRG Root X1 をエクスポート&インポート
ISRG Root X1 証明書がインストールされている他のデバイスからインポートする方法。
inetcpl.cplの「信頼されたルート証明機関」から ISRG Root X1 証明書をエクスポートして動かしたいデバイスでインポート。
(3) セキュリティソフトを使う
多くのセキュリティソフト会社は自社独自のルートCAを構築しており、セキュリティソフトをインストールすれば、独自の証明書を入れてくれる。
これが案外、Let's Encryptに対応した証明書である場合がある。ESETは対応していた、AVASTはダメなようだ。
(4) ブラウザはFirefoxを使う
FirefoxはPCやスマホにインストールされた証明書ではなく、独自のルートCAを使うそうだ。
放置するという選択は?
最後に、DST Root CA の期限切れで、相当多くのデバイスにて一部のWebサーバーが「証明書確認できませんでした」とか「安全な通信は行われていません」みたいなエラーが発生していると思われるが、そういうデバイスの人はかなりいろいろなサイトでそういうエラーを目にしており慣れているだろう。
だから「それでもこのサイトにアクセスしますか?」ボタンを押すだろう。
しかし、多くのサイトがこのエラーを修復にかかり、自社サイトだけが取り残されると、訪問者も警戒するので問題は大きくなる。
有料の証明書を契約する?
個人のユーザーに、上の4つのどれかの対策を、自主的にやってもらうことは厳しい。なので、サーバを運営する運営側で、有料の証明書を手当てすることも一つの選択だろう。
当社も一番安価な Global Sign 社の証明書を一部のドメインに対して導入した。不具合がでているであろう一部のユーザーに警戒されないための対策である。
しかし、数年もすれば、そういう人々のデバイスもアップデートされるだろうから、契約を続ける意味はあるかどうか、しばらくしたら検討の余地ありかな?とも思う。
このようにWebサーバは一度コンテンツを構築すると、未来永劫コンテンツは残る印象があるが、実際は頻度は高くないにしてもネット環境の変化に応じて維持のための作業や対応が必要となる事実は認識しておきたい。
<< nslookupコマンド、すぐに忘れるので< | >SSLサーバ証明書と www ありなし問題 >>