【追記】
2020年12月21日(米国時間)、Let's Encrypt の公式サイトにて「Extending Android Device Compatibility for Let's Encrypt Certificates」と題した発表がされました。それによりますと、IdenTrust によって「DST Root X3」から「ISRG Root X1」に対する3年間のクロスルート証明書が発行される形で引き続き、「DST Root X3」の使用が可能になるとのことです。よって、本件でお伝えしました、一部Android端末でのWebサイト閲覧に関して、2021年1月11日以降も問題なく可能となりました。

弊社Webサイトでは、SSLサーバ証明書に「Let's Encrypt」を使用して、皆様がご利用のブラウザと弊社サーバ間における暗号化通信を提供しておりますが、Let's Encryptを運営する非営利団体、ISRG(Internet Security Research Group)は、現在使用しているルート証明書(IdenTrust / DST Root X3)を、自らが認証局として発行するルート証明書(ISRG Root X1)に切り替えることを発表しています。

現行の「DST Root X3」ルート証明書の有効期限が2021年9月30日であることから、2021年9月29日まで、Webサイト運営者には「DST Root X3」ルート証明書を使用し続けられる猶予が与えられていますが、それに先立つ2021年1月11日には、SSLサーバ証明書の自動更新プログラムを経由して取得されるデフォルトのルート証明書を「ISRG Root X1」に切り替えることが発表されており、Let's Encryptを利用するWebサイト運営者が「ISRG Root X1」ルート証明書への切り替えを明示的に拒否しない限り、自動更新によって、順次ルート証明書は「ISRG Root X1」へと変更されます。

通常、例えばWindowsのようなOSに関しては、定期的なアップデート、更新プログラムを通じて、信用できるルート証明書が必要に応じてインストールされますが、すでにアップデートの提供(サポート期間)が終了した古いOS、あるいは一部のAndroid端末のように、端末自体のサポートは続けられていながらもメーカーの都合等でOSに対するアップデートの提供が難しい場合などに関しては、新たに発行されたルート証明書の追加インストールが行われません。

このような一部環境におきましては、Let's Encryptが予定通りルート証明書を「ISRG Root X1」に切り替えた場合、弊社Webサイトを含む、Let's Encryptが提供するSSLサーバ証明書を利用しているWebサイトの閲覧時に、SSLサーバ証明書に関する警告(エラー)が表示され、Webサイトが閲覧できなくなる可能性があります。

具体的に影響が懸念されている環境としましては、下記が挙げられます。

  • バージョン「7.1」以前のAndroid OSを搭載したスマートフォン、タブレットなどのAndroid端末

なお、サポート期間内のOS(Windows、macOS、iOSなど)を利用し、さらに適切にアップデートが適用され、最新の状態が維持されている端末においては、本件に対して何ら影響はありません。また、「ISRG Root X1」ルート証明書は、2016年12月5日にリリースされたバージョン「7.1.1」以降のAndroid OSに関しては標準でインストールされているため、それ以降のAndroid OSを搭載した端末をご利用の環境におきましても特に影響はございません。

本件に対する弊社Webサイトの対応

弊社では、Let's Encryptにおけるデフォルトのルート証明書切り替え(2021年1月11日を予定)が行われた直後に実行されるSSLサーバ証明書の更新タイミングにおいて、新しいルート証明書を使用した証明書チェーンへの切り替えを行う予定です。よって、2021年1月11日以降、前述した一部環境においては弊社Webサイトの閲覧ができなくなる可能性がありますが、セキュリティの観点から弊社では古い環境へのサポートは行わず、動作対象外とさせていただくことと決定しました。

一部利用者の皆様にはご迷惑をおかけいたしますが、何卒ご理解いただければ幸いです。

追加情報

本件の対象となる、バージョン「7.1」以前のAndroid OSを搭載したスマートフォン、タブレットなどのAndroid端末をご利用の環境における一時的な回避策として、「Firefox」ブラウザをインストールしていただくという方法があります。Android版のFirefoxは、OSとは別に、ブラウザ独自の証明書データベースを使用しており、「ISRG Root X1」ルート証明書に関しても問題なく使用可能です。

Android OSのバージョンアップが不可能な状況で、引き続き、弊社Webサイトを含む、Let's Encrypt提供のSSLサーバ証明書を使用したWebサイトを閲覧したいという場合には、上記の回避策をご検討ください。