人気の高いSSL証明書認証局であるLet's Encryptが使っているルート証明書の有効期限が近づいている。「IdentTrust DST Root CA X3」で認識されるこのルート証明書の有効期限は2021年9月30日、つまり今月いっぱいまでだ。古いルート証明書から新しいルート証明書への移行は完全に透過的だが、実際には過去に問題が発生している。特に古いソフトウェアを使っている場合は注意が必要だ。

IdentTrust DST Root CA X3


セキュリティ研究者であるScott Helme氏は9月21日(英国時間)、「Let's Encrypt's Root Certificate is expiring!」において、今月末でLet's Encryptが使用しているルート証明書が有効期限を迎えることを指摘するとともに、過去の事例などを引き合いにしてどのような問題発生が懸念されるかを説明した。

Helme氏は特に、今回の期限切れで次のソフトウェアやプラットフォームが影響を受ける可能性が高いとして注意を呼びかけている。

Windows XP SP3よりも前のバージョン

macOS 10.12.1よりも前のバージョン

iOS 10 よりも前のバージョン(iPhone 5がiOS 10を使用できるもっとも古いバージョンのプロダクト)

Android 7.1.1よりも前のバージョン(ただし、ISRG Root X1クロスサインを使っているなら2.3.6およびこれより後のバージョンであれば使用可能)

Mozilla Firefox 50よりも前のバージョン

Ubuntu 16.04よりも前のバージョン

Debian 8よりも前のバージョン

Java 8u141よりも前のバージョン

Java 7u151よりも前のバージョン

NSS 3.26よりも前のバージョン

Amazon FireOS (Silk Browser)

今回の期限切れで問題が発生するか不明で、さらに調査する必要があるソフトウェアやプラットフォームとして次の項目が挙げられている。

Cyanogen v10よりも後のバージョン

Jolla Sailfish OS v1.1.2.16よりも後のバージョン

Kindle v3.4.1よりも後のバージョン

Blackberry 10.3.3およびこれより後のバージョン

PS4 ファームウェア5.00およびこれより後のバージョン

オペレーティングシステムやソフトウェアのアップデートを適用している場合は問題が発生する可能性は低い。古いバージョンのまま使い続けている場合に問題が発生する可能性があると考えられており、注意が必要だ。