無料SSLサーバ証明書認証局であるLet’s Encryptの発行システムに重大なバグが発覚し、これまで発行した証明書を失効しなくてはならなくなりました。
2020年3月3日のLet’s Encryptの発表によると、失効対象のSSL証明書は約300万とのことで、順次失効が進められています。
証明書が失効されると、WEBサーバやメールサーバで通信がSSL化されず、エラーや警告表示が出ます。
利用中のLet’s Encrypt証明書が失効対象かを確認し、失効対象の場合は証明書を入れ替える必要があります。
今回の失効措置の対象となっているかどうかは、以下のリンクより確認可能です。
https://checkhost.unboundtest.com/
ボックス内に証明書のコモンネーム(FQDN)を入力し、Query をクリックします。
以下のように表示された場合は、失効対象ではありません。
The certificate currently available on <FQDN> is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is <シリアル番号>
上記以外の表示の場合、影響を受ける可能性があります。
失効リストを入手し、openssl等のコマンドで確認します。 詳細は以下ページを参照ください。 https://qiita.com/matsumoto_sp/items/e8e035a6f27c52ee5ede#%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B5%E3%82%A4%E3%83%88%E4%BB%A5%E5%A4%96%E3%81%A7%E5%88%A9%E7%94%A8%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95
証明書の更新が必要です。 以下のようなコマンドを実行してください。
certbot renew --force-renewal
当社では本件の対応についてお困りのお客様へ有償サポートを提供可能です。
Let’s Encryptのようなドメイン名のみを認証するサーバ証明書(DV認証型)はコストや手軽さ、自動化による魅力がありますが、
当社ではコーポレートサイトやECサイトには、企業認証 証明書(ドメイン認証に加え組織の実在性の認証後に発行される証明書)を推奨しております。
当社が提供するDigiCert証明書(OV及びEV認証型)は、サイトの信頼性向上、機密情報保護や、安定したSSL/TLS証明書利用の観点から全世界で高い信頼を得ています。
当社のDigiCert証明書取り扱い実績は国内最長で、豊富なナレッジにより、スムーズで迅速なサーバ証明書の乗り換えを支援いたします。
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
