※注意書き※ 暫定記事です。
DST Root CA X3 の期限切れ
Let'sencrypt ユーザの皆さんなら、よくご存知でしょうが、 CA証明書、2021/09/30 に期限が切れてしまったことで様々な影響があると伝えられてきました。明確に「対応がないもの」というのが古いOSであったりするのですが、証明書のコンパチビリティ で示されているような古いOSに限らず 例えば、Windows10あたりでも、自動で入れ替えられたりはしないまま古い証明書が「無効なまま」参照され、VPNなどでは弾かれて(13801エラー)しまいます。
筆者はStrongSwanのKEv2/VPNサービスで「認証エラー」となるため、数時間潰されてしまいました。(証明書が無効ですとエラーが出ればいいのに)
Webブラウザ中でなら昔から手慣れたインターフェイスで管理できるのですが、OSはそうでもないことが多いのです。
何をすれば良いのか
接続先サーバの、FQDNに紐付けられている電子署名が、Let'sencrypt で発行されているため、VPNがつながらなくなって困っている人向けの処方です。
Windowsの場合は削除する必要がある(未検証?)
- certlm.msc :このツールで 証明書ストア にアクセスして確認します。以下の2つがインストールされていて、2020/09/30 に期限を迎えているのであれば、確実につながらないでしょう。
-
以下の証明書を入れることでチェーン切れを解決します。(Windows/iOS)
Root Certficate : ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
--
Intermediate Certificates: Let’s Encrypt R3 (RSA 2048, O = Let's Encrypt, CN = R3)
それぞれの証明書のインストールについては調べれば解ると思いますので、割愛します。