Let\'s Encrypt チェーンの更新
Let’s Encrypt - Cloudflare が使用する 証明書機関 (CA) の1つ - は、その 信頼のチェーン における変更を発表しました。1
影響を最小限に抑えるために、変更を早期に通知し推奨事項を提供することに加えて、Cloudflare は以下のように進めます。
- あなたが特に Let’s Encrypt を選択していない Cloudflare 管理の証明書について、異なる証明書機関に自動的に切り替えます。
- あなたが特に Let’s Encrypt を使用するように設定した Cloudflare 管理の証明書について通知し、これらの証明書でカバーされているホスト名が 影響を受けるデバイスやシステム からリクエストを受けているかどうかをお知らせします。
- 適切なチェーンで Cloudflare にアップロードされた Let’s Encrypt 証明書をバンドルし始めます。これは、バンドル方法 が互換性のあるまたは最新の設定になっている限りです。
あなたが最初に見るかもしれない変更 - すなわち、レガシーデバイスからのリクエストをまだ受けている場合 - は 2024年9月9日 に現れます。
これらの各アクションがどのように異なる証明書タイプに反映されるかについての詳細は、以下のセクションを参照してください。
クロスサインされたチェーンの有効期限は、主に古いデバイス、例えば Android 7.0 およびそれ以前のバージョンに影響を与えます。ISRG Root X1 チェーンが 信頼ストア に存在しないシステムは、クロスサインされたチェーンに完全に依存しているため、影響を受けます。
- 2024年6月: Cloudflare は、あなたが Let’s Encrypt を使用することを選択していない管理証明書の CA を自動的に変更し始めます。
- 2024年9月9日: Cloudflare は、証明書の発行および 証明書のバンドル の両方でクロスサインされたチェーンの使用を停止します。
- 2024年9月30日: クロスサインされたチェーンの有効期限が切れます。
ユニバーサル 証明書は、より互換性のある証明書機関 (CA) に自動的に切り替えられます。この変更に備えて特に行動を起こす必要はありません。
あなたが特に Let’s Encrypt を選択して 高度な証明書 を発行している場合、Cloudflare はあなたのドメインが影響を受けているかどうかを確認し、メールで連絡します。
メールには、Let’s Encrypt を CA として使用している証明書と、それらのホスト名が 変更によって影響を受けるクライアント からリクエストを受けているかどうかが記載されます。
Let’s Encrypt を CA として使用している証明書のリストは、証明書リスト API エンドポイント を通じて確認できます。
その後、あなたは 高度な証明書を管理 して、異なる CA を使用することができます。
トータル TLS に関して、Let’s Encrypt の使用が訪問者の体験に影響を与える可能性がある場合は、SSL/TLS > エッジ証明書 に移動し、トータル TLS 設定で異なる証明書機関が選択されていることを確認してください。
Cloudflare はトータル TLS 証明書を自動的に変更しません。
カスタム証明書 で互換性のあるまたは最新の バンドル方法 を使用し、9月9日以前にアップロードされた場合、Cloudflare は有効期限までクロスサインされたチェーンを使用し続けます。
2024年9月9日以降、Cloudflare にアップロードされたすべての Let’s Encrypt 証明書は、クロスサインされたチェーンの代わりに ISRG Root X1 チェーンでバンドルされます。
ユーザー定義のバンドル方法では、Cloudflare は常にあなたがアップロードしたチェーンを提供します。
この方法を使用して Let’s Encrypt 証明書をアップロードする場合、2024年9月30日以降にアップロードされる証明書はクロスサインされたチェーンを使用しないことをお勧めします。
カスタムホスト名証明書 で特に Let’s Encrypt を使用するように設定されている場合、自動的に変更は行われません。
代わりに、Cloudflare は影響を確認し、SaaS プロバイダーとしてあなたにメールで連絡します。
この変更がクライアントに影響を与えないようにするために、2024年9月9日以前に使用する CA を切り替えることをお勧めします。これを達成する方法については、以下のオプションを参照してください。
-
カスタムホスト名の編集 エンドポイントを使用して、
certificate_authorityパラメータを空の文字列 ("") に設定します。これにより、カスタムホスト名証明書が「デフォルト CA」に設定され、選択が Cloudflare に委ねられます。Cloudflare は常に、Google Trust Services などのより互換性のある CA から証明書を発行しようとし、Google が証明書を発行するのをブロックする CAA レコード が存在する場合にのみ Let’s Encrypt にフォールバックします。API コールの例
Terminal window curl --request PATCH \\https://api.cloudflare.com/client/v4/zones/{zone_id}/custom_hostnames/{custom_hostname_id} \\--header "X-Auth-Email: <EMAIL>" \\--header "X-Auth-Key: <API_KEY>" \\--header "Content-Type: application/json" \\--data '{"ssl": {"method": "txt","type": "dv","certificate_authority": ""}}' -
カスタムホスト名の編集 エンドポイントを使用して、
certificate_authorityパラメータをgoogleに設定します。これにより、カスタムホスト名の CA として Google Trust Services が設定されます。
-
訪問者からの問い合わせを監視する: Let’s Encrypt の変更が展開された後、証明書の警告やアクセスの問題に関連する問い合わせについてサポートチャネルを監視することをお勧めします。
-
信頼ストアを更新する: あなたがウェブサイトやアプリケーションに接続しているクライアントを制御している場合、影響を防ぐために、自己署名の ISRG Root X1 チェーンを含むように 信頼ストア を更新することをお勧めします。
Let’s Encrypt は、自己署名の ISRG Root X1 チェーンと、IdenTrust の DST Root CA X3 によってクロスサインされた ISRG Root X1 チェーンを通じて RSA 証明書を発行してきました。
Let’s Encrypt の発表 ↗ に説明されているように、クロスサインされたチェーンは、彼らの証明書が広く信頼されることを可能にし、自己署名のチェーンはさまざまなデバイスとの互換性を徐々に発展させてきました。
2023年末の時点で、自己署名の ISRG Root X1 を信頼する Android デバイスの数は 93.9% に達し、Let’s Encrypt はクロスサインされたチェーンを廃止することを決定しました。