人気の高いSSL証明書認証局であるLet's Encryptが使っているルート証明書の有効期限が近づいている。「IdentTrust DST Root CA X3」で認識されるこのルート証明書の有効期限は2021年9月30日、つまり今月いっぱいまでだ。古いルート証明書から新しいルート証明書への移行は完全に透過的だが、実際には過去に問題が発生している。特に古いソフトウェアを使っている場合は注意が必要だ。

  • IdentTrust DST Root CA X3

    IdentTrust DST Root CA X3

セキュリティ研究者であるScott Helme氏は9月21日(英国時間)、「Let's Encrypt's Root Certificate is expiring!」において、今月末でLet's Encryptが使用しているルート証明書が有効期限を迎えることを指摘するとともに、過去の事例などを引き合いにしてどのような問題発生が懸念されるかを説明した。

Helme氏は特に、今回の期限切れで次のソフトウェアやプラットフォームが影響を受ける可能性が高いとして注意を呼びかけている。

  • Windows XP SP3よりも前のバージョン
  • macOS 10.12.1よりも前のバージョン
  • iOS 10 よりも前のバージョン(iPhone 5がiOS 10を使用できるもっとも古いバージョンのプロダクト)
  • Android 7.1.1よりも前のバージョン(ただし、ISRG Root X1クロスサインを使っているなら2.3.6およびこれより後のバージョンであれば使用可能)
  • Mozilla Firefox 50よりも前のバージョン
  • Ubuntu 16.04よりも前のバージョン
  • Debian 8よりも前のバージョン
  • Java 8u141よりも前のバージョン
  • Java 7u151よりも前のバージョン
  • NSS 3.26よりも前のバージョン
  • Amazon FireOS (Silk Browser)

今回の期限切れで問題が発生するか不明で、さらに調査する必要があるソフトウェアやプラットフォームとして次の項目が挙げられている。

  • Cyanogen v10よりも後のバージョン
  • Jolla Sailfish OS v1.1.2.16よりも後のバージョン
  • Kindle v3.4.1よりも後のバージョン
  • Blackberry 10.3.3およびこれより後のバージョン
  • PS4 ファームウェア5.00およびこれより後のバージョン

オペレーティングシステムやソフトウェアのアップデートを適用している場合は問題が発生する可能性は低い。古いバージョンのまま使い続けている場合に問題が発生する可能性があると考えられており、注意が必要だ。