SSL Let’s Encryptの証明書を利用している場合Android7.1以前の環境でサイトが閲覧不可に

無料のSSLサーバー証明書のLet’s Encryptを利用している場合、2020年9月29日以降見られなくなる可能性があるようです。

Let’s Encrypt とは?

米国の非営利団体であるISRG(Internet Security Research Group)により運営されており、全てのWebサイトを暗号化することを目指したプロジェクト。
2019年6月現在では世界で1億枚以上の有効な証明書を発行されています。

閲覧不可になる原因は?

Let’s Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしていることが原因で、Android7.1以前にはこの「ISRGのルート証明書」が入っていない為、サイトが見えなくなるようです。
現在は、「IdenTrustのルート証明書」を利用しています。

ルート証明書とは?

ルート証明書は認証局が発行する電子証明書で、PCやタブレット、スマートフォンなどの端末に出荷時からインストールされているものです。

Android端末にはSSL通信用ルート証明書を手動でインストールする設定があるので、最悪エンドユーザーが手動で「ISRGのルート証明書」をインストールすれば対応可能なのかもしれません。

ルート証明書の確認方法は別の記事で紹介しています。

延命策は?

IdenTrustのルート証明書」の有効期限が2021年9月29日までなので、最悪2021年9月29日までは利用可能。

ただし、9月29日以降にLet’s EncryptでSSLサーバー証明書を発行した場合、Android7.1以前の環境で見られなくなる為、オプションでルート証明書をIdenTrustのものを指定する必要があるとのこと。

android OS 各バージョンのシェアは?

Androidの各OSのシェアを調べてみました。
※2020/6時点で11はまだリリースされていないので10までとなります。

OSシェア (2020/06/30現在)
Android 1021.131%
Android 938.782%
Android 8.16.392%
Android 8.012.219%
Android 7.18.231%
Android 7.04.627%
Android 6.05.189%
http://smatabinfo.jp/os/android/index.html 参照

Android 8.0以降のシェアは全体の78.524% 約8割といったところ。

※Android 11が2020年中にリリースされるらしいので、その後変動があるかもしれません。

自動更新を利用している場合の対応策は?

サーバー管理ツールとしてPleskなどを利用している場合、Let’s Encryptの証明書は2ヶ月毎の自動更新になります。この場合はどのように対応するのか?

Pleskの開発元「Parallels」に確認したところ、回避策をサポートすることは決まっているようです。
ただ、どのような対応になるかはまだ未定とのことです。(2020/8/18現在)

2021年まではルート証明書を延命する

Android 7.1以前のシェアは21.476%なので切り捨てても良いと考えるか、切り捨てられないと考えるかは、アクセス解析などでサイトの閲覧ユーザーのOS状況を確認する必要がありそうです。

ただ、延命できれは後1年以上あるので、その頃にはAndroid 7.1以前を切り捨てても問題ない状況になっていると思います。

created by Rinker
本書では、安全なインターネット通信を行うため今後普及するであろう電子証明書やPKI技術、その基礎となる暗号化方式などについて、実践的な立場から解説する。SSLやS/MIMEなどの暗号化通信技術についても具体的に解説している。暗号やPKI技術に関する技術について基礎から実践まで詳細に学ぼうとするインターネット関連技術者の技術入門書。

1件のピンバック

コメントする

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)