Let's Encryptが6月6日に新しい中間証明書に移行、これから毎年切り替え
2024年5月1日(水)8時26分 マイナビニュース
○新しい中間証明書の概要
Let's Encryptは無料で利用できる証明書認証局。2020年9月に1つのルート証明書(ISRG Root X2)と中間証明書(R3、R4、E1、E2)を発行したが、この中間証明書の有効期限が近づいているため、今回新しい中間証明書に交換する。新しい中間証明書はR10からR14までを2048ビットRSA、E5からE9までをP-384 ECDSAとする。また、階層構造に若干の変更が加えられ、すべてのエンドエンティティ証明書はISRG Root X1によって署名された中間証明書を1つ持つ(参考:「New Intermediate Certificates - Let's Encrypt」)。
Let's Encryptは6月6日の切り替えに合わせ、信頼チェーンを短縮する戦略の一環としてIdenTrustのDST Root CA X3のクロス署名をAP(Application Programming Interface)から削除する。なお、Let's Encryptのステージング環境では4月24日に切り替えが行われる予定。
○影響
Let's Encryptが発行する証明書を自動取得するツール「Certbot」などの自動証明書管理環境(ACME: Automatic Certificate Management Environment)クライアントには、今回の切り替えは基本的に影響しないという。これらツールは新しい中間証明書を自動的に構成する。
Let's Encryptは証明書全体のセキュリティ向上のため、今後は使用中の中間証明書を毎年切り替える予定。そのため、開発者に対し、ルート証明書や中間証明書を固定する実装は推奨しないとしている。