企業が広報活動の一環としてホームページやECサイトを保有するのは当たり前ですが、突然そのサイトが表示されなくなってしまったとしたらどうしますか?
通常であれば想像だにしないそんな状況ですが、実は一部の条件においては起こってしまうことが予想されます。 それが、Let’s Encrypt(レッツ・エンクリプト)のルート証明書期限切れによるサイト表示不可問題です。
この記事ではLet’s Encrypt期限切れによるサイト不可問題を深堀りしつつ、その対策について詳しく解説いたします。 DX(デジタルトランスフォーメーション/以下:DX)を語る上でも外せないWebサイトのセキュリティ問題について、自社のWebサイト運営を見直すきっかけとしてください。
サイト表示が不可となる
サイトのアドレスを「http://~」から「https://~」とするHTTPS化=SSL化は、企業がWebサイトを運営する上で、セキュリティ対策としては必須の施策の1つです。
そのためには第三者機関から「SSL証明書」を発行してもらう必要があり、それを無料で提供している認証局の1つがLet’s Encryptです。
現在Let’s Encryptでは2種類のルート証明書を利用して、WebサイトのSSL証明書を発行しています。
そのうちの1つ、古くから使われていた方のルート証明書「DST Root CA X3」の有効期限が2021年に切れたため、それ以上の更新を行わずすべて自社のルート証明書「ISRG Root X1」に切り替えられています。
これにより、一部の利用環境ではWebサイトが表示されなくなる現象が考えられ、早めに対策を行っておかないと大きなビジネスチャンスの喪失があるかもしれません。
Let’s Encryptを使っていないから大丈夫?
そうはいっても企業によっては「Let’s Encrypt(レッツ・エンクリプト)など聞いたこともないし、自社では利用していないから関係ない。」と考えることもあるかもしれません。
しかし、現在独自サーバーと有料SSL化を行っている企業であれば問題ありませんが、既存のレンタルサーバーを利用している企業は要注意です。
多くのレンタルサーバーでは「無料SSL化」をサービスとして提供しているケースも多いでしょう。
ですがその多くは自社でSSL証明書を発行しているわけではなく、既存の無料SSL証明書を発行する認定書へ代理登録をしているだけなのです。
現に国内の多くのレンタルサーバーでは、Let’s Encryptを利用していることがサーバーのサービス内容として紹介されています。
【Let’s Encryptを利用した無料SSL証明書を提供するサーバー例】
- さくらのレンタルサーバ
- エックスサーバー
- ConoHa WING
- heteml
- ロリポップ!
こうしたレンタルサーバーを利用しているWebサイトの場合、自社が意識するしないに関わらずLet’s Encryptを利用しているケースも多々あるのです。
今回のLet’s Encrypt期限切れ問題に対して、各サーバー会社側で対策を講じてくれる場合もありますが、DXを推進する一環としての守りのDXを考える上では、一度しっかりと確認をしておく必要はあるでしょう。
古いAndroid端末は要注意
2025年時点で、世界のSSL証明書シェア63.7%を誇り、10億枚以上の証明書を発行している(参考:SSL Insights)ISRG(Let’s Encryptの運営団体)。
Let’s Encryptは、かつてはIdenTrustの「DST Root CA X3」にクロスサインすることで古い端末との互換性を確保していましたが、現在は独自の「ISRG Root X1」が主流となっています。そのため、「ISRG Root X1」を信頼していない古い端末では、Let’s Encryptの証明書を利用したサイトが正しく表示できない場合があります。
高齢者層を多く顧客に抱える企業は早めの対策を
スマートフォンの普及率は若年層から高齢者層まで広がっていますが、そのOSの利用状況をみてみると、高齢者層ほどAndroidOSの利用率が高いというデータもあります。
また、高齢者層ではそうそう頻繁に機種変更を行うといったことも考えづらいため、Let’s Encrypt期限切れによるサイト表示不可問題の影響をもろに被るのは、そうした古いAndroid端末を保有している確率の高い高齢者層だと考えられないでしょうか。
実際に、Android 7.1.1以前の古い端末ではLet’s Encryptの証明書を利用したWEBサイトが「接続がプライベートではありません」などのエラーで表示できなくなる事例が報告されています。
つまり、自社の中心顧客層がそうした高齢者層である企業の場合、早めの対策を講じておく必要があるのです。
Android端末でLet’s Encryptを継続表示させる方法
ユーザー側でこの問題に対処するためには、主に2つの方法が考えられます。
- Androidをアップデートする:最新のOSにアップデートすれば対応できる場合もある
- Firefoxをインストールする:OSとは別のルート証明書を持っているため表示が可能
ある程度新しい機種であればこれで解決できるはずです。
しかし、すでにアップデートのサポートがされていない古い端末などではこれらの方法では事態は解決せず、端末自体を買い換えない限り該当のWebサイトは2度と表示されません。
では、これを解決するために企業側ではどのような施策を講じることができるのでしょう。
エンドユーザーへの告知を行う
まず最初に、こうしたことが起こりうることをエンドユーザーに告知し、何らかの対策を取るように啓蒙活動を行うといったことが考えられます。
しかし、古いAndroid端末を使い続けている高齢者層というのは、総じてそうした方面の知識には疎いことも少なくありません。
また、ユーザー側で対処することを促す方法では、どうしても消極的な対処法にならざるを得ず、DX推進を考える上でも企業の対策としてはいささか不十分であるといえるでしょう。
Let’s Encryptから他の証明書へ乗り換える
次に考えられるのは、Let’s Encryptから他のSSL証明書に乗り換えるという方法です。
そもそもの原因であるLet’s Encryptを利用しさえしなければ、サイト表示不可という問題自体起こりえません。
この場合に注意すべきは、レンタルサーバーによっては他社のSSL証明書は使えない可能性があるということです。
特に無料SSL証明書の場合は、規定のものしか対応できないサーバーというのも少なくありませんので、利用規約などをしっかりと確認して対応する必要があります。
この機会に、セキュリティ上はより安心・確実な有料SSL証明書などを検討してみるのも良いでしょう。
まとめ
Let’s EncryptのSSL証明書期限切れに端を発する、Webサイトの表示不可問題を解説するとともに、その対策についてご紹介しました。
しかし、こうしたさまざまな条件をクリアして、自社のWebサーバーを適切に表示させながらセキュリティ対策を行うというのは、まるっきり知識の無い方には少々難しい場合もあります。
そのため、Webに詳しい専任のIT担当者などがいない企業の場合は、ついつい対策を後回しにして気がついたらいつの間にかサイトが表示されていなかったということにもなりかねません。
今やDX推進を考える上でも、企業にとってのWebサイト運営はマストアイテムとなりますので、この機会に信頼できる外部ベンダーと組んで対策を講じるというのも、1つの大きな施策となるのではないでしょうか。
