Wordfenceプラグインが、2020/3/4にアナウンスされたLet’s Encryptのバグについてその日の内にメールで知らせてきました。
今まで何となく入れていましたが結構いいプラグインです。セキュリティのプラグインでアップデートも積極的だしおすすめ。
Wordfenceプラグインは、WordPressのセキュリティ状況を監視するプラグインで、ファイア・ウォール機能もあるWordPressを安全に使うためのメンテナンス・プラグインです。
ふだんは、インストールしているプラグインのセキュリティ情報がメールで通知されるので重宝しているのですが、Let’s Encryptの通知まで来るとは予想していませんでした。
WordPressをKUSANAGIで使うのなら入れておいたほうがいいプラグインです。
(KUSANAGIじゃなくてもオススメ。)
Let’s Encryptとは?
Let’s Encryptは、サイトのhttps化を無料でできるサービスです。
https化にはサイトのドメインを認証局で認証してもらわなければいけません。
(通常は有料。認証してもらうとキーを受け取る。)
これを、Let’s Encryptが提供する認証局は無料でしてくれます。KUSANAGIのhttps化のソフトウェアでも使われています。
Let’s Encryptの重大なバグ
2020/3/4、Let’s Encryptは、約300万ドメインのhttps認証を取り消すことを発表しました。
これで取り消されたドメインはhttpsでサイトを見れなくなりました。
けっこう重大なバグです。
一応、確認しておこう!
Wordfenceプラグインが通知してきた内容です。
On Wednesday, March 4, 2020, 3 million Transport Layer Security (TLS) certificates issued by Let’s Encrypt will be revoked because of a Certificate Authority Authorization (CAA) bug. This is 2.6% of the over 116 million active certificates issued by Let’s Encrypt.
本文
2020年3月4日(水)、Let's Encryptが発行した300万件のTLS(Transport Layer Security)証明書が、CAA(Certificate Authority Authorization)のバグにより失効します。これは、Let's Encryptが発行した1億1600万件以上のアクティブな証明書の2.6%に相当します。
DeepLで翻訳
認証してキーを発行するアプリケーションにバグがあって、認証してはいけないものにまでOKを出してしまったようです。
それを取り消す対象になったのが300万件のドメインです。
Let’s Encrypt has contacted all certificate holders affected by this bug, and they’ve created a tool and a list of serial numbers to determine if your TLS certificate is affected by the bug.
本文
Let's Encryptは、このバグの影響を受けたすべての証明書保有者に連絡し、あなたのTLS証明書がバグの影響を受けているかどうかを判断するためのツールとシリアル番号のリストを作成しました。
DeepLで翻訳
ちなみにボクには連絡が来ていませんし、取り消されたドメインに入っていませんでした。
だから事の重大さに気づかなかったのですが。
Details and tools linked on the blog to see if your sites are affected.
Regards,
Kathy Zant - Director of Marketing
本文
詳細とツールはブログにリンクされているので、あなたのサイトが影響を受けているかどうかを確認してみてください。
よろしくお願いします。
キャシー・ザント - マーケティング担当ディレクター
DeepLで翻訳
ドメインの確認ツールはだれでも無料でできます。関係のなかった人も自分のサイトを確認しておきましょう。
