SSLの期限のトラブル

Sun, 10 Oct 2021 18:33:59 JST (10d)
Top > SSLの期限のトラブル

現在一部の方においてSSL認証の警告が出るトラブルが確認されております。
同時にこのトラブルが出る方は複数のサイトでトラブルを生じていると思います。

 

トラブルの起きる人 Edit

このトラブルが起きる条件は次のものが重なった時におきます

  1. すべてのインターネットサイトを暗号化して
    安全に見ることができるようにできるようと設立された
    Let’s Encryptという無料のSSL認証提供サービスを利用しているサイト。
  2. 新しい認証ルートを信頼していないこと。つまりちょっと古いPCやスマホを利用している人で新しい認証ルートを信用していない場合に起きます。
     

トラブルの原因 Edit

これまでLet’s Encryptという無料のSSL認証提供サービスはDST Root CA X3

という古くから知られた認証局を用い、次に新しく作られたあまり信用されていない

ISRG Root X1というものを通して各サイトを認証していました。

 

過去にはISRG Root X1が信用されていなくてもDST Root CA X3が信用でき、

そこの信用ですべての認証がされていました。

 

時間は進み、

ISRG Root X1が多くのPCやスマホで信用された時 DST Root CA X3の利用を終了しました。それが2021年の9月30日です。

 

ISRG Root X1が多くのPCやスマホで信用されたのですが古いPCやスマホでは

情報が更新されず未だに信用していない状態になりました。

 

古いPCやスマホはDST Root CA X3の利用期限が切れている上に

次の認証局ISRG Root X1も信用できないということで

このサイト危険ですと警告を送っているのです。

 
 

ちょっとわかりやすくするための説明 Edit

以下のお話はフィクションであり、現実の人物団体とは一切関係がありません。
例えば、松上電器というメーカーが知られていたとします。
信用を判定するロボットがいたとします。
このロボットは最新の情報に対応していて松上電器の製品を信頼できると
ユーザーに教えました。

 

少し期間が過ぎ
松上電器はペンタソニックという名前で製品を売り始めました。
信用を判定するロボットはペンタソニックの製品は松上電器の製品として
信用できると判定しました。

 

さらに期間が過ぎ
新しい信用を判定するロボットはペンタソニックの製品を直接信用するようになりました。
しかし昔に発売されたロボットはペンタソニックの製品を松上電器の製品だから
信用しました。

 

さらに期間が過ぎ
松上電器は社名を変えペンタソニックに変更しました。
新しい信用を判定するロボットはペンタソニックの製品を信用できると判定しました。
しかし昔に発売されたロボットは今はない松上電器の製品であり信用できず、
ペンタソニックというメーカーは知らないので信用できないメーカーと判定しました。

 

このため新しいロボットは警告を発生せず、昔のロボットが警告を発生するようになったということです。

 

このロボットがあなたのスマホやPCであり、松上電器がDST Root CA X3であり、
ペンタソニックがISRG Root X1です。

 

解決のための方法 Edit

解決のための方法は先ほどの例えで言えば
ペンタソニックを信用するという判定に変更すればよく、
現実で言えばISRG Root X1を信用するというふうに変更すれば解決できます。
またファイヤーフォックスというブラウザでは
信用を判定する基準をブラウザでもっておりそれは随時更新されるので
古いスマホ、PCでもエラーが起きないと言われています。

 
 

関連資料
https://ssl.sakura.ad.jp/column/letsencrypt-root-certificate/