話題にならないけど一大事!? 無料でHTTPSが利用できる「Let’s Encrypt」で問題発生の可能性浮上
Android7.1以前でLet’s Encryptを利用したサイトが見られなくなる未来
2020年の7月末時点で、日本国内の Android ユーザーの79.83%が、バージョン 8.0 以降を利用している(参照:スマタブ)。そのため、残りの Android ユーザーの約20%ほどで影響が生じる可能性がある。
Android 7.0 のリリースは2016年8月、7.1 のリリースは2016年10月だ。まだリリースから4年しか経っていないので、同じ端末を使い続けている人がいるのはうなずける。Android 7.1 のシェアは7.8%、Android 7.0 のシェアは4.4%、2015年リリースの Android 6.0 は4.8%の利用者がいる。それより古いOSも、各1%以下だが利用者はいる。
2019年の9月になれば、これらの端末を利用している人は、Let’s Encrypt を利用しているWebサイトが閲覧できなくなる。Webサイト側の人間がどうするのか選択肢は2つある。1つは有料のSSLに乗り換える。もう1つは古い Android ユーザーは無視する。どちらも、あまり嬉しくない選択肢だ。
どうしてこんなことが起きているのか。SSLサーバー証明書が正しいかを判断するには、認証局というところが発行したルート証明書というものが利用される。この中でも有力な認証局のルート証明書は、コンピューターやWebブラウザにあらかじめ入っている。その他の認証局の証明書は、そうしたところに証明してもらったりしている(参照:IT用語辞典 e-Words)。
Let’s Encrypt の運営元のISRGは認証局の1つだ。しかし、設立されたばかりということで、このルート証明書は、各種の端末に格納されていなかった。そのため別の認証局Iden Trustのルート証明書を利用して署名していた。この有効期限が2021年9月になる。
ISRGは取り組みとして、様々なOSやWebブラウザの開発元に、自身のルート証明書を入れてもらっていた。しかし新参の認証局のために、古い端末には当然入っていない。Let’s Encrypt の正式運用開始は、2016年の4月。Android 7.1 のリリースは、2016年10月。タイミング的に難しかっただろうというのは想像が付く。
こうした背景があるために、少なくないAndroidユーザーが、2億2千5百万のサイトを見られなくなってしまう。
HTTPSが歩んで来た世界
やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。2019年12月に Nintendo Switch で、個人で開発した『Little Bit War(リトルビットウォー)』を出した。2021年2月には、SBクリエイティブから『JavaScript[完全]入門』、4月にはエムディエヌコーポレーションから『プロフェッショナルWebプログラミング JavaScript』が出版された。
1
2
ハッシュタグ