Android7.1以前だと一部ウェブサイトにアクセスできなくなる！ 解決策は？

2021年の9月から、Androidの7.1以前のバージョンを使用している人は（現在Androidを使用している人たちの約1/3に該当します）、Let’s Encrypt によるSSL証明書を使用しているWebサイト（世界中のウェブの約1/3に該当します）に接続できなくなる可能性があります。

どうしてアクセスできなくなるの？

そうなる理由をかいつまんで説明するとシンプルな話です。

現在、Webの約95％がHTTPSを使用しています。HTTPSは、ブラウザのセキュリティに関する優れた指標ではありますが、WebサイトがHTTPSの一部として使用するデジタル証明書を発行する新しい認証局を立ち上げるプロセスがちょっと困ったことになります。

Let's Encryptの主任開発者であるJacob Hoffman-Andrewsさんは次のように書いています。

新しい認証局（CA）が登場すると、難題に直面します。世間に使ってもらうには、さまざまなオペレーティングシステム（OS）やブラウザから信頼されるルート証明書が必要です。

しかし、OSやブラウザが新しいルート証明書を受け入れるには何年もかかることがあり、人々がデバイスをその変更を含む新しいバージョンにアップグレードするには、さらに長くかかるかもしれません。

一般的な解決策として、新しいCAは多くの場合、既存の信頼できるCAにクロス署名をしてもらうことで、多くのデバイスから迅速に信頼されるようにします。

5年前、Let’s Encryptを立ち上げたとき、私たちが行なったのはまさにそれで、IdenTrustにクロス署名をしてもらったのです。

IdenTrustの「DSTルートX3」は長い間存在しており、Windows、Firefox、macOS、Android、iOS、さまざまなLinuxディストリビューションといったあらゆる主要なソフトウェア・プラットフォームから既に信頼されていました。

このクロス署名のおかげで、Let’s Encryptは証明書の発行をすぐに開始できて、多くの人の役に立てています。

IdenTrustが存在しなければ、Let’s Encryptも存在しなかったかもしれません。私たちは、IdenTrustのパートナーシップに感謝しています...

ここまで来ると想像がつくかもしれませんが、この最初のDSTルートX3証明書が来年の9月1日に失効し、Let'sEncryptのISRGルートX1証明書を使用するようにアップデートされていないOSは問題に直面します。

また、Let’s Encryptは1月に自動認証プロセスを変更して、WebサイトISRG RootX1証明書を提供する予定なので、もっと早く問題に遭遇する可能性もあります。

DSTルートX3証明書と後方互換性のある回避策を設定できますが、これは一時的な修正にすぎません。

解決策：ブラウザをFirefox Mobileに切り替えよう

理想的には、古いAndroidが、サポート対象外のアップデートを受けて、Let’s Encryptの新しい証明書が使用できるようになれればいいのですが、それはあまり期待できません。

製造元がAndroid 8より前の「古めかしい」Androidデバイスのアップデートをとてつもなく嫌がるからです。

ちょっとした回避策が1つあります。

現在使用しているブラウザが何であれ、それをFirefox Mobileに切り替えると必要なWebサイトにアクセスできるようになります。

Firefox Mobileは、Androidのオペレーティングシステムがサポートするルート証明書でなく、独自のルート証明書を使用するので、Androidの製造元がアップデートのリリースを躊躇しても、必要なWebサイトを問題なく閲覧できます。

それから、Chromeはまだ削除しないでおきましょう。

Googleは、どこかの時点でChromeの基盤となるOSにあるルート証明書でなく、独自のルート証明書を使用することで似たような使い方に切り替えるはずだからです。

それが来月になるか2か月以内かはわかりませんが、遅くとも古いAndroidが正式に使えなくなる来年の9月までに確実に実現されると思います。