IdenTrustのルート証明書でLet's Encryptの証明書が更新されるようにcertbotを設定
cron に設定している Certbot の SSL 証明書更新コマンドに --preferred-chain オプションをつけて、いくつかのサイトで2021年9月29日までは IdenTrust のルート証明書のチェーンのまま証明書が更新されるようにしました。
» certbot: add –preferred-chain by alexzorin · Pull Request #8080 · certbot/certbot
» Certbot 1.6.0 Release – Client dev – Let's Encrypt Community Support
こちらにあるように --preferred-chain オプションは certbot のバージョン 1.6.0 以降でないと使えないので、まずは最新版にバージョンアップしておきましょう。
あとは例えば /etc/crontab に certbot renew を実行するコマンドを設定しているのなら、
certbot renew --preferred-chain "DST Root CA X3"
のようにオプション指定を追加するだけ(なはず)。このオプションで正しく動作するのか9月29日以降でないと確認できないので様子見です。
» Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々
2020年9月29日以降に Let’s Encrypt が発行する SSL 証明書のルート証明書が現在の IdenTrust から ISRG に切り替わり、一部の古い端末でサイトにアクセスできなくなるという問題への対処です。(記事末に追記あり)
上記サイトでは Android 7.1 以前となっていましたが、
» Let's Encrypt のルート証明書がISRG Root X1に変わると何が起きるか
こちらでは Andorid 8.0 以下で警告画面が出るようになると書かれています。ちなみに上記リンク先にもあるように Windows や Mac、 iOS の一部のかなり古いバージョンでも同様に警告が出たりサイトが閲覧できなくなったりするようです。
【追記: 2020-09-23】 ISRG へのルート証明書の切り替えは20201年1月11日開始に延期されたそうです。 https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root
著者について
コメントを残す