Let's EncryptのルートCA証明書期限切れ、多数のサイトで問題発生

Jonathan Greig (Special to ZDNET.com) 翻訳校正: 編集部

2021-10-04 12:12

 HTTPSに使用される証明書の最大手発行組織の1つであるLet's Encryptが使用しているルート証明書が期限切れになったことで、米国時間9月30日に多くのウェブサイトやサービスで問題が発生した。

 Security Headersの創業者Scott Helme氏によれば、原因は、米国東部時間午前10時(日本時間9月30日午後11時)頃にIdenTrustのルート証明書「DST Root CA X3」が期限切れになったことだ。以前からこの問題について調査してきたHelme氏は、何百万ものウェブサイトがLet's Encryptのサービスに依存していると述べている。今回の問題では、一部の古いデバイスで、特定の証明書を正しく検証できなくなるという。

 Let's Encryptは、ユーザーが利用するデバイスで暗号化された安全な通信を利用できるようにすることを目的として、無料で証明書を発行している非営利団体だ。

 問題の証明書が9月30日に期限切れになることは以前から警告されていたが、実際に期限切れになると、多くのユーザーから、さまざまなサービスやウェブサイトで問題が起きていることが報告された。

 Helme氏は、少なくともPalo Alto、Bluecoat、Cisco Umbrella、Catchpoint、Guardian Firewall、Monday.com、PFsense、Google Cloud Monitoring、Azure Application Gateway、OVH、Auth0、Shopify、Xero、QuickBooks、Fortinet、Heroku、Rocket League、InstaPage、Ledger、Netlify、Cloudflare Pagesで問題が起きていることを確認しており、ほかにも多くの問題が発生している可能性があると指摘している。

 「この問題を解決する方法は、実際の問題の内容によって異なるが、最終的には次の2つのいずれかに集約される。サービスやウェブサイトが、クライアントに提供している証明書チェーンを更新するか、ウェブサイトやサービスに接続しているクライアントを修正するかだ」とHelme氏は説明する。

 一部のサイトは、発生する可能性のある問題についてサイト上に情報を掲載しており、多くのサイトがすでに問題を修正している。

 電子証明書の専門家であるTim Callan氏は、最近のデジタルシステムはほとんどが証明書に依存しており、これにはユーザーのサイバー環境や物理環境の安全を守るためのシステムも含まれると述べている。

 Callan氏は、事業部門や独自に活動しているプロジェクトに所属している開発者が、IT部門の知らないところで証明書を取得し、その後新しい作業に移ったり、証明書の期限に気を配ることを怠ったりした場合に問題が発生しがちだと付け加えた。

 同氏は、最近使われているルート証明書を検証する仕組みでは、別のルート証明書を使って信頼を確立することができるため、ほとんどのシステムでは問題を回避できると指摘した。

 「ただし、古いシステムや、証明書の処理に未修正の(あるいは未知の)バグを抱えているシステムでは、こうした障害が発生するリスクがある。よく使われているCAが発行する、使われることが多いルート証明書の場合、障害のリスクはかなり大きくなる」と同氏は説明する。

 TechCrunchの記事では、問題が発生する可能性のあるデバイスとして、2016年以前の「macOS」や「Windows XP(Service Pack 3)」のほか、古いバージョンの「PlayStation」のゲーム機や、「OpenSSL 1.0.2」以前に依存しているツールを挙げている。

 Digital Shadowsの上級サイバー脅威アナリストであるSean Nikkel氏によれば、Let's Encryptは、2021年5月にはすでにルートCAの期限が9月30日に切れることを告知しており、デバイスが影響を受けるのを避けるための代替手段や回避策も紹介していたという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]