Android7.1以前でLet’s Encryptを利用したサイトが見られなくなる未来

　2020年の7月末時点で、日本国内の Android ユーザーの79.83％が、バージョン 8.0 以降を利用している（参照：スマタブ）。そのため、残りの Android ユーザーの約20％ほどで影響が生じる可能性がある。 　Android 7.0 のリリースは2016年8月、7.1 のリリースは2016年10月だ。まだリリースから4年しか経っていないので、同じ端末を使い続けている人がいるのはうなずける。Android 7.1 のシェアは7.8％、Android 7.0 のシェアは4.4％、2015年リリースの Android 6.0 は4.8％の利用者がいる。それより古いOSも、各1％以下だが利用者はいる。 　2019年の9月になれば、これらの端末を利用している人は、Let’s Encrypt を利用しているWebサイトが閲覧できなくなる。Webサイト側の人間がどうするのか選択肢は2つある。1つは有料のSSLに乗り換える。もう1つは古い Android ユーザーは無視する。どちらも、あまり嬉しくない選択肢だ。 　どうしてこんなことが起きているのか。SSLサーバー証明書が正しいかを判断するには、認証局というところが発行したルート証明書というものが利用される。この中でも有力な認証局のルート証明書は、コンピューターやWebブラウザにあらかじめ入っている。その他の認証局の証明書は、そうしたところに証明してもらったりしている（参照：IT用語辞典 e-Words）。 　Let’s Encrypt の運営元のISRGは認証局の1つだ。しかし、設立されたばかりということで、このルート証明書は、各種の端末に格納されていなかった。そのため別の認証局Iden Trustのルート証明書を利用して署名していた。この有効期限が2021年9月になる。 　ISRGは取り組みとして、様々なOSやWebブラウザの開発元に、自身のルート証明書を入れてもらっていた。しかし新参の認証局のために、古い端末には当然入っていない。Let’s Encrypt の正式運用開始は、2016年の4月。Android 7.1 のリリースは、2016年10月。タイミング的に難しかっただろうというのは想像が付く。 　こうした背景があるために、少なくないAndroidユーザーが、2億2千5百万のサイトを見られなくなってしまう。 　Webの世界は登場当時、とても牧歌的だった。しかし、個人情報が飛び交うようになり、商用利用されるようになり、セキュリティが大切になった。HTML自身もHTML5になり、Webアプリケーションを作れるようになった。Webアプリケーションでは、多くの情報がサーバーとやり取りされる。Secure（安全）が必要になるのは当然だ。 　Let’s Encrypt が無料で運用されているのは寄付があるからだ。現在のスポンサーと寄付者のページには日本の企業も入っている。たとえば、スポンサーになっている さくらインターネット では、レンタルサーバーで Let’s Encrypt が簡単に利用できるようになっている（参照：レンタルサーバーはさくらインターネット）。 　Webで情報を公開するなら、しっかりとお金をかけるべきだという意見も分かる。しかし、できるなら低コストで利用したいというのも本音である。お金がある企業だけでなく、個人でも気軽にWebサイトを作り公開できるように、Let’s Encrypt のような取り組みが存続してくれればよいと思っている。 ＜文／柳井政和＞