Let′s Encryptが6月6日に新しい中間証明書に移行、これから毎年切り替え
Let's Encryptはこのほど、「Deploying Let's Encrypt's New Issuance Chains - Let's Encrypt」において、2024年6月6日(米国時間)に新しい中間証明書に切り替えると発表した。この切り替えにより利用者に効率的な署名書チェーンを提供し、速度、セキュリティ、アクセシビリティーの点でエクスペリエンスを強化できると説明している。
○新しい中間証明書の概要
Let's Encryptは無料で利用できる証明書認証局。2020年9月に1つのルート証明書(ISRG Root X2)と中間証明書(R3、R4、E1、E2)を発行したが、この中間証明書の有効期限が近づいているため、今回新しい中間証明書に交換する。新しい中間証明書はR10からR14までを2048ビットRSA、E5からE9までをP-384 ECDSAとする。また、階層構造に若干の変更が加えられ、すべてのエンドエンティティ証明書はISRG Root X1によって署名された中間証明書を1つ持つ(参考:「New Intermediate Certificates - Let's Encrypt」)。
Let's Encryptは6月6日の切り替えに合わせ、信頼チェーンを短縮する戦略の一環としてIdenTrustのDST Root CA X3のクロス署名をAP(Application Programming Interface)から削除する。なお、Let's Encryptのステージング環境では4月24日に切り替えが行われる予定。
○影響
Let's Encryptが発行する証明書を自動取得するツール「Certbot」などの自動証明書管理環境(ACME: Automatic Certificate Management Environment)クライアントには、今回の切り替えは基本的に影響しないという。これらツールは新しい中間証明書を自動的に構成する。
Let's Encryptは証明書全体のセキュリティ向上のため、今後は使用中の中間証明書を毎年切り替える予定。そのため、開発者に対し、ルート証明書や中間証明書を固定する実装は推奨しないとしている。
○新しい中間証明書の概要
Let's Encryptは無料で利用できる証明書認証局。2020年9月に1つのルート証明書(ISRG Root X2)と中間証明書(R3、R4、E1、E2)を発行したが、この中間証明書の有効期限が近づいているため、今回新しい中間証明書に交換する。新しい中間証明書はR10からR14までを2048ビットRSA、E5からE9までをP-384 ECDSAとする。また、階層構造に若干の変更が加えられ、すべてのエンドエンティティ証明書はISRG Root X1によって署名された中間証明書を1つ持つ(参考:「New Intermediate Certificates - Let's Encrypt」)。
Let's Encryptは6月6日の切り替えに合わせ、信頼チェーンを短縮する戦略の一環としてIdenTrustのDST Root CA X3のクロス署名をAP(Application Programming Interface)から削除する。なお、Let's Encryptのステージング環境では4月24日に切り替えが行われる予定。
○影響
Let's Encryptが発行する証明書を自動取得するツール「Certbot」などの自動証明書管理環境(ACME: Automatic Certificate Management Environment)クライアントには、今回の切り替えは基本的に影響しないという。これらツールは新しい中間証明書を自動的に構成する。
Let's Encryptは証明書全体のセキュリティ向上のため、今後は使用中の中間証明書を毎年切り替える予定。そのため、開発者に対し、ルート証明書や中間証明書を固定する実装は推奨しないとしている。
