非営利のSSL証明書認証局「Let's Encrypt」は10月1日(現地時間)、「Resources for Certificate Chaining Help - Let's Encrypt」において、同認証局で利用していたルート証明書の「DST Root CA X3」が2021年9月30日をもって有効期限切れを迎えたとアナウンスした。
Let's Encryptでは現在、独自の証明書「ISRG Root X1」を使用している。DST Root CA X3の有効期限切れは以前からアナウンスされていた通りのスケジュールによるものだが、ISRG Root X1に移行できない古い端末ではWebサイトが閲覧できないなどの影響が出る可能性がある。
Let's Encryptは非営利団体のISRG(Internet Security Research Group)によって2014年に設立された比較的新しい認証局。Let's Encryptでは設立当初より、別の認証局であるIden Trustが発行したDST Root X3と、クロス署名された中間CA証明書を使用することで信頼性を担保してきた。現在は独自のルート証明書であるISRG Root X1が普及しており、ほとんどのWebブラウザやデバイスではISRG Root X1がインストールされているため、DST Root X3が失効しても実用上の影響はない。
しかし、新しいルート証明書を適用できない古いデバイスでは、今まで閲覧できていたWebサイトが閲覧できなくなるなどの事態が発生する可能性がある。セキュリティ研究者のScott Helme氏は、Let's Encryptのルート証明書を使用しており、ソフトウェアの更新が行われていない2017年以前にリリースされたデバイスは注意する必要があると警告している。影響を受ける可能性のあるデバイスは、次のページにまとめられている。
DST Root CA X3の有効期限が切れることは過去に何度もLet's Encryptから公式アナウンスがリリースされており、移行のための猶予期間が設けられていた。しかし組み込みデバイスなどでは、構造上ソフトウェアのアップデート自体が難しいケースもあり、すべてのデバイスが新しい証明書に移行できているわけではない。特に憂慮されているのは、Android 7.1.1よりも前のバージョンのAndroidデバイスである。Androidデバイスのうち、Android 7.1.1よりも前のバージョンは依然として約30%のシェアを有している。
これに対応するためにLet's Encryptでは、2024年初頭までの有効期限を持つDST Root CA X3のための特別な中間CA証明書を発行した。そのため、この中間CA証明書をインストールしたバージョン2.3.6以降のAndroidデバイスであれば、あと3年ほどは問題なく利用できるという。その他、ISRG Root X1を含む独自のルート証明書ストアを使用しているFirefoxを利用するという代替案も提示されている。
DST Root CA X3の有効期限切れに関して質問がある場合は、コミュニティフォーラムを検索するか、または次のサポートスレッドに投稿してほしいとのことだ。