CloudflareはもうLet's Encryptをサポートしなくなるのか?

インストール
1

「Cloudflareから受け取ったメールについて心配しています。Cloudflareをインストールで使用しているのですが、これが何を意味するのか誰か教えていただけますか?オフラインになりますか?」

こんにちは、

2024年5月15日以降に発行されたLet’s Encrypt証明書のデバイス互換性に影響を与える今後の変更についてお知らせいたします。Universal SSL、Advanced Certificate Manager、Custom Certificates、またはSSL for SaaSを通じてLet’s Encrypt証明書を使用していることが確認されたため、ご連絡いたしました。事前にLet’s Encryptの変更について理解を深め、必要な調整を行っていただくことをお勧めします。

変更の概要

Let’s Encryptは、ISRG Root X1チェーンと、IdenTrustのDST Root CA X3によってクロスサインされたISRG Root X1チェーンの2つのチェーンを通じて証明書を発行しています。クロスサインされたチェーンにより、Let’s Encrypt証明書は広く信頼されるようになりました。一方、ピュアチェーンは過去3年間で様々なデバイスとの互換性を高め、ISRG Root X1を信頼するAndroidデバイスの数を66%から93.9%に増加させました。

Let’s Encryptは、クロスサインされたチェーンが2024年9月30日に期限切れになることを発表しました。その結果、Cloudflareは2024年5月15日にクロスサインされたCAチェーンからの証明書の発行を停止します

影響

クロスサインされたチェーンの期限切れは、主に古いデバイス(例:Android 7.0以前)や、クロスサインされたチェーンのみに依存し、信頼ストアにISRG Root X1チェーンが含まれていないシステムに影響します。この変更により、これらのデバイスで証明書の検証に失敗し、ウェブサイトを訪問するユーザーに警告メッセージが表示されたり、アクセスに問題が発生したりする可能性があります。

Universal SSL、Advanced Certificate Manager、またはSSL for SaaSを通じて発行された証明書への影響:

CAの期限切れに備えるため、5月15日以降、Cloudflareはクロスサインされたチェーンからの証明書を発行しなくなります。5月15日より前に発行された証明書は、クロスサインされたチェーンを持つクライアントに引き続き提供されます。5月15日以降に発行された証明書は、ISRG Root X1チェーンを使用します。さらに、この変更はRSA証明書にのみ影響します。Let’s Encryptを通じて発行されたECDSA証明書には影響しません。ECDSA証明書は、現在と同レベルの互換性を維持します。

Custom Certificatesを通じてアップロードされた証明書への影響:

Cloudflareにアップロードされた証明書は、Cloudflareが最も互換性が高く効率的と判断した証明書チェーンとバンドルされます。2024年5月15日以降、CloudflareにアップロードされたすべてのLet’s Encrypt証明書は、クロスサインされたチェーンではなく、ISRG Root X1チェーンとバンドルされます。5月15日より前にアップロードされた証明書は、その証明書が更新されるまで、クロスサインされたチェーンを引き続き使用します。

重要な日付

2024年5月15日: CloudflareはクロスサインされたCAチェーンからの証明書の発行を停止します。また、この日以降にアップロードされたLet’s Encrypt Custom Certificatesは、クロスサインされたチェーンではなく、ISRG X1チェーンとバンドルされます。

2024年9月30日: クロスサインされたCAチェーンの期限が切れます。

推奨事項:

この変更の影響を軽減するために、以下の手順を実行することをお勧めします。

  1. CAの変更:お客様がレガシーデバイスからアプリケーションにリクエストを行っており、この変更が影響すると予想される場合は、別の証明書発行局を使用するか、選択したCAの証明書をアップロードすることをお勧めします。
  2. 監視:変更がロールアウトされたら、証明書の警告やアクセス問題に関する問い合わせについて、サポートチャネルを監視することをお勧めします。
  3. 信頼ストアの更新:アプリケーションに接続するクライアントを制御している場合は、影響を防ぐために、ISRG Root X1チェーンを含めるように信頼ストアをアップグレードすることをお勧めします。

「これが彼らから受け取ったメールですが、いくつか問題があり、私は素人なので、理解しようとしましたが、深刻さが理解できませんでした。もし誰かが助けてくれるなら感謝します。」

2

それはすべてCF側の問題であり、Discourseに影響を与えるとは思いませんが、間違っている可能性もあります。

3

ディスコース/ドッカーはLet’s Encryptを使用しているため心配ですが、メッセージの意味がまだ理解できません。

4

今のところ、チェーンの有効期限は9月30日まであることを考えると、そのままにしておくのが安全だと思います。

5

Cloudflareは、現時点では使用をやめるには良すぎるため、引き続きこれを観察します。

6

Android 7は2016年にリリースされ、現在の市場シェアは1.42%であるため、ユーザーへの測定可能な影響はほとんどないでしょう。

「いいね!」 2
7

これはほとんど心配する必要はありません。Cloudflare は Let’s Encrypt の使用を停止していません。

この変更による影響は以下の通りです。

Cloudflare の見解は以下の通りです。

https://community.cloudflare.com/t/let-s-encrypt-certificate-change/631346/3

「いいね!」 3
8

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.