おそらくはそれさえも平凡な日々

Let's Encryptの証明書切替周りその後

Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる」の続き。

色々動きがあって猶予もできて助かった形だけど、来年9月29日以降の対応をどうするか考えないといけない状況なのは当然変わっていません。先にまとめると以下。

  • 何もせずとも来年の1月11日までは猶予が伸びた
  • 証明書を発行する側の場合、各クライアントで --preferred-chain "DST Root CA X3" のようにオプション設定することで、来年の9/29まで先延ばしが可能
  • 独自ドメインに対して自動でSSL証明書を発行してくれるサービスを利用している場合はサービスが声明を出していないか調べ、出してない場合は問い合わせると良いでしょう

前回以降の動き

  • go-acme/legoに--preferred-chainオプションのpull requestを取り込んでもらいました
  • デフォルトRoot証明書の切替が来年2021年1月11日に延期になりました
  • 新しい中間証明書が発行されました
  • Firebase Hostingなどのいくつかのサイトに対応方針を問い合わせました

go-acme/legoに--preferred-chainオプションのpull requestを取り込んでもらいました

ref. https://github.com/go-acme/lego/pull/1227

certbotでは--preferred-chainというオプションが追加されcertbot-auto --preferred-chain "DST Root CA X3" とすれば現行のチェーンを維持できるように既になっていましたが、Goの標準的なACMEクライアントである、github.com/go-acme/legoでは未対応であったためpull requestを送って取り込んでもらいました。

これで、同様に lego --preferred-chain "DST Root CA X3"とすればチェーンの維持ができるようになったと同時に、ライブラリとして利用する場合も以下のようしてチェーン指定ができるようになりました。

import "github.com/go-acme/lego/v4/certificate"

var certifier *certificate.Certifier
certifier.Obtain(certificate.ObtainRequest{
    PreferredChain: "DST Root CA X3",
    ...
})

ご利用ください。

デフォルトRoot証明書の切替が来年2021年1月11日に延期になりました

ref. https://community.letsencrypt.org/t/transition-to-isrgs-root-delayed-until-jan-11-2021/125516

これで、無対応でも、古いAndoroidでサイト閲覧で警告が出るのが来年1月11日以降に先延ばしになりました。

サイト運営者としては猶予ができて助かった形ですが、Let's Encrypt側はこれまで何度も延期しているので大変そうですね。

新しい中間証明書が発行されました

ref. https://letsencrypt.org/2020/09/17/new-root-and-intermediates.html

このエントリ自体色々書いてあって面白いので全部読むのおすすめですが、中間証明書の部分に限って言うと、Let's Encryptが以前のエントリでも予告していた動きがあったということです。

  • 中間証明書Let's Encrypt Authority X3 の後継としてLet's Encrypt Authority R3を発行した
  • 現行の中間証明書と同様にIdenTrustのルート証明書(DST Root CA X3)でクロス署名されている
  • X3は2021年3月19日が期限だったが、R3によってそれ以降もDST Root CA X3のチェーンを維持が可能になる
    • しかしそれもDST Root CA X3自体の有効期限(2021年9月29日)までだということは当然変わらない
  • X3からR3へのPrimary発行の切替は今年の遅くに予定している
    • 利用ユーザー側はこれによる実質的な影響は受けない

つまり、現行のルート証明書のままでの来年の9月29日まで粘れる状況は整ったということ。

Firebase Hostingなどのいくつかのサイトに対応方針を問い合わせました

自社で利用している以下のサービスに対して今後の対応方針を問い合わせました。

  • Firebase Hosting
  • WordPress.com
  • Zendesk Guide

それぞれしっかり回答はもらったのですが、公開できる範囲で問い合わせ内容を公開します。特に、Firebase Hostingに関しては丁寧な回答をもらい、かつ内容を完全に公開してくれて構わないとも答えてもらったので、さすがGoogleであった。

Firebase Hosting

時期は決まっていないが、Let's Encryptのルート証明書変更の影響が出る前に、Google自身の認証局に切り替える予定である。多くの場合、ユーザーは特に何もする必要はないが、ドメインにCAAレコードを設定して認証局を明示的に設定している場合には、CAAレコードに"pki.goog"を追加してほしい。

とのことでした。やはり独自で認証局を持っているのは強い。CAAレコードへの対応方法まで書いてくれて親切。

WordPress.com

なるべく古い端末を尊重可能な形で切替を実施していくつもりのようでした。この辺りは流石大きなコンテンツプラットフォーマーだという印象。

Zendesk Guide

ヘルプセンターとGuideでサポートされるブラウザに書かれているように、Androidは最新のバージョンのみのサポートなので、古い端末に対する特別な対応などはおこなわない予定という感じのようでした。まあ、ソリッドな判断だと思います。

created at
last modified at

2020-09-22T19:58:36+0900

comments powered by Disqus