Macで最新のLet's Encryptルート証明書に更新する|ISRG Root X1のインストール方法

Let's Encrypt「DST Root X3」の有効期限が2021年9月30日付けで切れてしまったため、「OS X El Capitan」以前の古いMacデバイスでは、Webページの閲覧時に警告エラーが発生してしまいます。

Chrome:この接続ではプライバシーが保護されません
Crome:時計が進んでいます
Safari:Web サイト“sample.com”の識別情報を検証できません。
Safari:接続はプライベートではありません

失効された「DST Root X3」は以後利用できなくなり、2021年10月1日以降はLet's Encryptを利用したサイトに繋がらない状態が続きます。この問題は自動的に解消されるようなものではありません(※1)。

そこで今回は「DST Root X3」に代わる最新のルート証明書「ISRG Root X1」を独自にインストールして、この問題に対処することにしました。

目次

※1 サイト運営者が自身のサーバーのSSL証明書をLet's Encrypt以外の新たなものに切り替えれてくれれば、その限りではありませんが、期待はできません。Let's Encryptを利用した他のサーバーについては依然として利用できない状況が続くため、クライアント側にとっての根本的な解決にはなりません。

警告メッセージの詳細と注意事項

Chromeブラウザでは「この接続ではプライバシーが保護されません」(NET::ERR_CERT_DATE_INVALID)というメッセージが表示されます。

Safariブラウザの場合は「Web サイト“sample.com”の識別情報を検証できません。」や「接続はプライベートではありません」といったメッセージが表示されます。

古いデバイス上のChromeでは次のようなメッセージが表示されることもあります。

時計が進んでいます
パソコンの日時(2021年10月1日金曜日 12:00:00)が正しくないた
め、www.sample.com へのプライベート接続を確立できません。
NET::ERR_CERT_DATE_INVALID

いずれもサーバー側の証明書を確認すると「この証明書は有効ではありません(ルートが期限切れです)」と指摘されていることが分かると思います。

証明書の詳細はブラウザのアドレスバー横にある鍵マークをクリックすることで確認できます。

ルート期限への指摘がない場合は、単純にサーバー側のSSL証明書が期限切れになっている可能性があります。その場合はサイト側の問題であるため個別に対処してもらってください。

いずれもサーバ証明書や中間証明書・ルート証明書の有効期限の日付を確認して判断してください。

ISRG Root X1を手動インストールする

新しいルート証明書「ISRG Root X1」(isrgrootx1.pem.txt)を以下の公式ページからダウンロードします(ショートカットキーCommand+Sで保存できます)。

https://letsencrypt.org/certs/isrgrootx1.pem.txt
正常に保存できない場合はページ内のテキストをテキストエディタなどにコピー&ペーストするなどして保存します。
上記のリンクはLet's Encryptの公式サイトのものですが、letsencrypt.org自体もLet's Encryptを利用しているため、アクセス時に今回と同様の警告が発生する場合があります。ちなみにFirefoxブラウザでアクセスした場合は警告が発生しません。Firefoxに同梱されたルート証明書が利用されるためです。

Mac内のアプリケーション「キーチェーンアクセス(Keychain Access.app)」を開き、ダウンロードしたファイルisrgrootx1.pem.txtを当アプリのリスト内にドラッグして追加します(メニューバーよりファイル → 読み込む...でファイルを追加することもできます)。

今回は証明書の追加先をキーチェーンの「システムルート」ではなく「システム」とし、分類は「証明書」にしました(追加先はウインドウ内のサイドバーで選択できます)。

追加された証明書「ISRG Root X1」をダブルクリックして開き、「信頼」欄にある「この証明書を使用するとき」項目の設定値を「システムデフォルトを使用」から「常に信頼」に変更して証明書を閉じてください。

証明書を閉じた際に要求されたパスワードを入力して、信頼設定の変更を許可するようにしてください

以上でルート証明書の登録は完了です。即座にLet's Encryptが使われたサイトへのアクセスが可能となります。以下の公式サイトで証明書のテストが行えます。

https://letsencrypt.org/ja/certificates/
古い証明書「DST Root X3」は削除せずに残しておきましょう。
広告