「Let's Encryptの信頼チェーン短縮」

 (letsencrypt.org)
2 ポイント 投稿者 GN⁺ 2023-07-11 | 1件のコメント | WhatsAppで共有
  • Let's Encrypt: ウェブサイト向けに広く信頼されている証明書を提供する認証局
  • 当初は IdenTrust の DST Root CA X3 によってクロス署名された証明書が、信頼を確保するために使用されていました。
  • Let's Encrypt 独自のルート証明書である ISRG Root X1 は、長い期間を経て広く信頼されるようになりました。
  • クロス署名された中間証明書と DST Root CA X3 は、2021 年末に有効期限を迎えます。
  • 古い Android 端末との互換性を維持するため、Let's Encrypt のルートに直接クロス署名が適用される予定です。
  • 新しいクロス署名は 2024 年 9 月 30 日に失効します。
  • ISRG Root X1 を信頼する Android 端末の割合は、この 3 年間で 66% から 93.9% に増加しました。
  • Android バージョン 14 は、ISRG Root X1 への信頼をさらに高めるでしょう。
  • クロス署名を削除すると、TLS ハンドシェイクで送信される証明書バイト数が 40% 以上減少し、運用コストが削減されます。
  • 以前クロス署名を使用していた機能は、2024 年 2 月にデフォルト設定から廃止され、2024 年 6 月に完全に削除される予定です。
  • サイト運営者は、ウェブサイトの利用統計とユーザーエージェント文字列を監視し、Android ユーザーに関連する潜在的な問題を特定する必要があります。
  • Android 7.0 より前のバージョンの利用者は、Let's Encrypt で保護されたウェブサイトにアクセスするために Firefox Mobile を使用する必要がある場合があります。
  • ACME クライアントの開発者は、証明書チェーンの正しいダウンロードとインストールを保証する必要があります。
  • Let's Encrypt は、IdenTrust の支援とパートナーシップに感謝しています。
  • Let's Encrypt の取り組みを支援するため、寄付とスポンサーシップを歓迎しています。

関連記事

1件のコメント

 
GN⁺ 2023-07-11
Hacker Newsの意見
  • Let's Encryptの信頼チェーンを短縮するための移行は、コミュニティからのフィードバックに基づいて延期されました。
  • Let's Encrypt証明書のAndroidおよびiOSデバイスでのサポート範囲は異なります。
  • Appleは、ユーザーにオペレーティングシステムのアップデートを促すのがより上手です。
  • 古いクロス署名を維持する解決策は興味深く、信頼アンカーに依存しています。
  • クロス署名された証明書の有効期限切れは、一部のユーザーに問題を引き起こす可能性があります。
  • Let's Encryptの運用コストは、この移行によって削減されるでしょう。
  • 証明書の有効期限切れにより、一部のユーザーはLet's EncryptからZeroSSLへ移行せざるを得ませんでした。
  • 無料の証明書提供は、ルールとユーザー依存性に変化をもたらす可能性があります。
  • TLSは、継続的な変更と有効期限切れのため、ウェブで最も脆弱な構成要素と見なされています。
  • Let's Encryptがクロス署名のための証明書会社を見つけた背景は不明です。
  • Let's Encryptのクロス署名中間証明書とDST Root CA X3の有効期限切れは、ubiquitiユーザーを含む一部のユーザーに影響を与えました.