企業が広報活動の一環としてホームページやECサイトを保有するのは当たり前ですが、突然そのサイトが表示されなくなってしまったとしたらどうしますか?
通常であれば想像だにしないそんな状況ですが、実は一部の条件においては起こってしまうことが予想されます。
それが2021年9月に予定されている、Let’s Encrypt(レッツ・エンクリプト)のルート証明書期限切れによるサイト表示不可問題です。
この記事ではLet’s Encrypt期限切れによるサイト不可問題を深堀りしつつ、その対策について詳しく解説いたします。
DX(デジタルトランスフォーメーション/以下:DX)を語る上でも外せないWebサイトのセキュリティ問題について、自社のWebサイト運営を見直すきっかけとしてください。
目次
2021年9月以降サイト表示が不可となる
サイトのアドレスを「http://~」から「https://~」とするHTTPS化=SSL化は、企業がWebサイトを運営する上で、セキュリティ対策としては必須の施策の1つです。
そのためには第三者機関から「SSL証明書」を発行してもらう必要があり、それを無料で提供している認証局の1つがLet’s Encryptです。
現在Let’s Encryptでは2種類のルート証明書を利用して、WebサイトのSSL証明書を発行しています。
そのうちの1つ、古くから使われていた方のルート証明書「DST Root CA X3」の有効期限が2021年に切れるため、それ以上の更新を行わずすべて自社のルート証明書「ISRG Root X1」に切り替えると発表しました。
これにより、一部の利用環境では9月以降Webサイトが表示されなくなる現象が考えられ、早めに対策を行っておかないと大きなビジネスチャンスの喪失が予想されるのです。
Let’s Encryptを使っていないから大丈夫?
そうはいっても企業によっては「Let’s Encrypt(レッツ・エンクリプト)など聞いたこともないし、自社では利用していないから関係ない。」と考えることもあるかもしれません。
しかし、現在独自サーバーと有料SSL化を行っている企業であれば問題ありませんが、既存のレンタルサーバーを利用している企業は要注意です。
多くのレンタルサーバーでは「無料SSL化」をサービスとして提供しているケースも多いでしょう。
ですがその多くは自社でSSL証明書を発行しているわけではなく、既存の無料SSL証明書を発行する認定書へ代理登録をしているだけなのです。
現に国内の多くのレンタルサーバーでは、Let’s Encryptを利用していることがサーバーのサービス内容として紹介されています。
【Let’s Encryptを利用した無料SSL証明書を提供するサーバー例】
- さくらのレンタルサーバ
- エックスサーバー
- ConoHa WING
- heteml
- ロリポップ!
こうしたレンタルサーバーを利用しているWebサイトの場合、自社が意識するしないに関わらずLet’s Encryptを利用しているケースも多々あるのです。
今回のLet’s Encrypt期限切れ問題に対して、各サーバー会社側で対策を講じてくれる場合もありますが、DXを推進する一環としての守りのDXを考える上では、一度しっかりと確認をしておく必要はあるでしょう。
古いAndroid端末は要注意
現在世界のSSL証明書シェア50%を誇り(参考:IdenTrust, which is used as root certificate for Let’s Encrypt, has now 50% SSL certificate market share.)、10億枚以上の証明書を発行(参考:Let’s Encrypt Has Issued a Billion Certificates)しているISRG(Let’s Encryptの運営団体)。
近年爆発的にシェアを増やすLet’s Encryptですが、その歴史はまだまだ浅いため古い端末では独自のルート証明書には対応していなかったという内情があるのです。
先述の「ISRG Root X1」をサポートしていない端末はまだまだ多く、Androidの場合公式にはVer.t.1.1以降でしかサポートされていないと公表されています。
このため、古いAndroid端末では2021年9月以降にサイト表示が不可となる可能性が高いとされ、少なくない影響が懸念されるのです。
高齢者層を多く顧客に抱える企業は早めの対策を
スマートフォンの普及率は若年層から高齢者層まで広がっていますが、そのOSの利用状況をみてみると、高齢者層ほどAndroidOSの利用率が高いというデータもあります。
また、高齢者層ではそうそう頻繁に機種変更を行うといったことも考えづらいため、Let’s Encrypt期限切れによるサイト表示不可問題の影響をもろに被るのは、そうした古いAndroid端末を保有している確率の高い高齢者層だと考えられないでしょうか。
つまり、自社の中心顧客層がそうした高齢者層である企業の場合、早めの対策を講じておく必要があるのです。
Android端末でLet’s Encryptを継続表示させる方法
ユーザー側でこの問題に対処するためには、主に2つの方法が考えられます。
- Androidをアップデートする:最新のOSにアップデートすれば対応できる場合もある
- Firefoxをインストールする:OSとは別のルート証明書を持っているため表示が可能
ある程度新しい機種であればこれで解決できるはずです。
しかし、すでにアップデートのサポートがされていない古い端末などではこれらの方法では事態は解決せず、端末自体を買い換えない限り該当のWebサイトは2度と表示されません。
では、これを解決するために企業側ではどのような施策を講じることができるのでしょう。
エンドユーザーへの告知を行う
まず最初に、こうしたことが起こりうることをエンドユーザーに告知し、何らかの対策を取るように啓蒙活動を行うといったことが考えられます。
しかし、古いAndroid端末を使い続けている高齢者層というのは、総じてそうした方面の知識には疎いことも少なくありません。
また、ユーザー側で対処することを促す方法では、どうしても消極的な対処法にならざるを得ず、DX推進を考える上でも企業の対策としてはいささか不十分であるといえるでしょう。
Let’s Encryptから他の証明書へ乗り換える
次に考えられるのは、Let’s Encryptから他のSSL証明書に乗り換えるという方法です。
そもそもの原因であるLet’s Encryptを利用しさえしなければ、サイト表示不可という問題自体起こりえません。
この場合に注意すべきは、レンタルサーバーによっては他社のSSL証明書は使えない可能性があるということです。
特に無料SSL証明書の場合は、規定のものしか対応できないサーバーというのも少なくありませんので、利用規約などをしっかりと確認して対応する必要があります。
この機会に、セキュリティ上はより安心・確実な有料SSL証明書などを検討してみるのも良いでしょう。
まとめ
2021年9月に予定されるLet’s EncryptのSSL証明書期限切れに端を発する、Webサイトの表示不可問題を解説するとともに、その対策についてご紹介しました。
しかし、こうしたさまざまな条件をクリアして、自社のWebサーバーを適切に表示させながらセキュリティ対策を行うというのは、まるっきり知識の無い方には少々難しい場合もあります。
そのため、Webに詳しい専任のIT担当者などがいない企業の場合は、ついつい対策を後回しにして気がついたらいつの間にかサイトが表示されていなかったということにもなりかねません。
今やDX推進を考える上でも、企業にとってのWebサイト運営はマストアイテムとなりますので、この機会に信頼できる外部ベンダーと組んで対策を講じるというのも、1つの大きな施策となるのではないでしょうか。
併せて使いたい!SSLチェッカーとは
SSL化が行えているかどうかを、手軽に確かめる方法として株式会社MUが独自開発したSSL化判定ツール【SSLチェッカー】です。このツールを使えば、自社のWebサイトがSSL化できているかを無料で診断することができます。
まずは、SSLチェッカーを用いて無料SSL化診断を行い、Webサイトの現状を確認してみてはいかがでしょうか。
診断を行うことで、自社で対応することができる場合は自社で対応し、手に負えそうになければベンダーを探す(株式会社MUでも対策は可能です)など、状況に応じた対策を行うことが可能になります。
