Android 7.1.1以前を搭載するデバイスには、2021年1月になるとSSL証明書認証局Let's Encryptが発行した証明書を使用するウェブサイト(世界の約1/3が該当)との通信ができなくなる問題があります

これは、現行のLet's Encrypt発行の証明書が、別の認証局であるIdenTrustの「DST Root CA X3」という認証局によって相互署名されることで世界中のウェブサイトへの安全なアクセスを可能としているものの、その有効期限が2021年9月30日で切れてしまうため。

Let's Encryptは証明書を2021年1月に新しく発行する「ISRG Root X1」に移行することをあきらかにしていますが、Android 7.1以前のデバイスにはISRG Root X1証明書が入っておらず、サポート切れでアップデートも提供されないため、インターネットへのアクセスが著しく制限されることがわかっていました。

この問題に関してIdenTrustとLet'sEncryptは、期限切れになるIdenTrustのDST Root CA X3から、Let's EncryptのISRG Root X1に署名を行う相互署名(クロスサイン)を行うことで合意したと発表しました。この措置によって、DST Root CA X3を使う古いAndroidデバイスでも、向こう3年間はISRG Root X1を使うのと同じ効果を得ることができます。DST Root CA X3は期限切れになるため、本来ならばこれは無効な措置ですが、Androidが実装する証明書取り扱いの仕様上、有効に機能するとのこと。いわばウラ技的な解決策と言えるでしょう。

ミシガン大学の調査によれば、現時点でもGoogle Payを利用する33.8%の端末でAndroid 7.1以前が動作しているとのこと。これらの数多くの端末を使う人たちはなにも意識をすることなく、ひきつづき安全なネットサーフィンが可能になります。

ちなみに、もしAndroidの証明書が機能しなくなった場合でも、独自のルート証明書を内部に持つFirefox Mobileといったブラウザーアプリを使えば、とりあえずウェブサイトの巡回ぐらいは可能です。ただ、そこまでしてデバイスを使い続けるよりは新しい機種に買い換える方がセキュリティ的にも使い勝手的にも便利なことはまちがいありません。

Source: Let's Encrypt

関連記事:古いAndroidで多くのセキュアサイトが表示不可に。2021年9月にLet’s Encryptがルート証明書を変更