Let's Encryptのルート証明書切替周り(完結編) | おそらくはそれさえも平凡な日々

tl;dr 驚くべきハックにより旧Androidも引き続き証明書エラーなくサイトを閲覧できそうです いよいよ5/4に標準の証明書チェーンが切り替わります 前回までのおさらい Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる Let's Encryptの証明書切替周りその後 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしています。現在は、IdenTrustのルート証明書(DST Root CA X3)が使われています。 正確に言うと、ISRGは新しい認証局なのでそのルート証明書の普及率も当然低く、中間証明書はIdenTrustのルート証明書でクロスサインされており、それが標準で使われています。標準がDSTになっているだけで、ISRGのルート証明書のチェーンの証明書も指定すれば今で

[Songmu]

blogged.

[hdkINO33]

“なんと、旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしいのです。何ということでしょう…。” なんやそれは……

[cohalz]

この解決策によってOpenSSL 1.0.2以下が逆に9/29以降繋がならなくなるのには注意 https://community.letsencrypt.org/t/openssl-client-compatibility-changes-for-let-s-encrypt-certificates/143816

[uzulla]

久々にハックらしいハックを見た気分がある。

[t-wada]

"なんと、旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしいのです" 酷いバグを逆手に取ることで八方塞がりの状況を突破する話

[everybodyelse]

解決と言っていいのか…。

[heihoh]

有効期限が切れている点以外は、SHA-2 切り替えのときに用いられた枯れた技術（クロスルート証明書）なのでは

[teppeis]

え？ 「なんと、旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしいのです」

[ntstn]

いいのかわるいのか。

[kazuhooku]

面白い。そんなことになってるのか。R3自体が変わるわけじゃないのでショートチェーンは自分でチェーン作れば変えられそうだけど、R3自体が今年9月で寿命だからそれまでかな

[side_tana]

“旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしい” そうなんだ、、、

[tmatsuu]

バグを逆手に取って延命。わいわい。

[sudo_vi]

うわあ

[t-murachi]

助かるっちゃ助かるんだけど無茶苦茶や…(´・ω・`)

[nonsect]

「旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため」…え？よく聞こえない。

[hiromi_ayase]

素直にAndroid7.1以下切り捨てたほうがいいのでは…

[motchang]

すごい（すごい）

[girled]

俺もよく分かってないが後学のために

[delphinus35]

これはすごーい。よく思いついたな。

[kuronama2404]

そんな技が…

[yoshi-na]

なんとも、まぁ……昔のie向けCSSハック味あると思います

[natu3kan]

サポート切れたソフトでも利便性の為に、安全装置が切れてるみたいなのはスマートではあるよな。使うのは使用者の自己責任ではあるけど。

[hinaloe]

驚くべきdirty hack……

[spitzfreak]

厳格でないセキュリティ仕様に救われた形(証明書の有効期限チェックしないってどうなのよ感はもの凄くあるが)

[NOV1975]

どうでも良いコンテンツのサイトまでhttpsじゃないと安全じゃねーとか言って見せなくしている方が良くないと思っているんだけどなあ。

[rgfx]

(;´Д`)

[butaniku200kg]

まさかの脱法証明書

[moriken1098]

(表示されるサムネのせいでネタブログだと思ってました…😥)

[flirt774]

旧Android「こんなこともあろうかと！　仕込んでおきましたよ！」Google「マジみんなゴメン」

[chimerast]

DV SSLなら、単一ドメインで年間数百円、ワイルドカード証明書でも年間数千円で買えるので、変な要件なければ、調査コスト考えると、買っちゃった方が安いんだけどね。

[Haaaa_N]

独自にバグ直してる端末とかなかったのかな

[t-tanaka]

トラストストアに入っているぐらいの認証局ならば，期限が切れた証明書での署名なんて馬鹿なことなしないだろう，という信頼を逆手にとってのダーティハック。いいのか？ 本当にこれでいいのか？

[boxshiitake]

バグだよね…？

[nzxx]

えぇ…

[rryu]

なんというハック…

[buhoho]

これぞITよ

[gfx]

アクロバティックでびっくりした…が、これで平和が訪れるならいいか。

[mkusunok]

これに気付いてワークアラウンド考えた奴だいぶ頭おかしくね→旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしい

[katzchang]

“まとめ: 何事も起こらないと良いですね。 ”

[yosuke_furukawa]

まじかw "なんと、旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしいのです。何ということでしょう…。"