2025年5月11日～2025年5月18日に読んだ中で気になったニュースとメモ書きです。

[Let's Encryptのクライアント証明書サポート終了予定]

こちらの記事から。

2025年5月14日以降、tlsserverプロファイルでのACMEを利用した発行方法でクライアント証明書のサポートを終了するとのこと。そもそもいらない気はしているものの、なんでサポートされてたんだろう...。最終的には2026年5月13日にクライアント証明書を発行できなくなるとのこと。

変更の理由として、Google Chromeのルートプログラム要件の変更が挙げられている。2025年2月に公開されたChrome Root Program Policy v1.6では、「3.2. Promote use of Dedicated TLS Server Authentication PKI Hierarchies」の中で、2025年6月15日以降はサーバー認証とクライアント認証の両方をサポートするルート認証局は認められない、と記載されている。

Let's Encryptの記事は、クライアント認証は多くの場合プライベート認証局の方が適している、と締めくくっている。そういうもんなのかしら...？知らなかった。

[その他のニュース]

▼ECH Interoperability Report（2025年1月）

こちらのツイートから。

Encrypted Client Hello (ECH) Interoperability Reporthttps://t.co/7AwT8lS5wY (pdf)#yuki_paper
— ゆき (@flano_yuki) 2025年5月15日

リンク先はこちらのPDF。

全体として、ブラウザを相手にする場合は特に問題はないが、それ以外のところには問題があるらしい（HTTPS RRの取り扱いがやはり問題とのこと。先週curlで試してる記事を取り上げたばかり）。

クライアントとして、OpenSSL、boringssl、NSS、WolfSSL、gnuTLS、golang、rustls、CPython、libcurl、Conscrypt-GP、サーバーとして、lighttpd、nginx、apache2、haproxy、OpenSSLがそれぞれ取り上げられている。

ちょっと面白かったのが、FirefoxでECHはデフォルトで有効になっているが、ファミリーセイフティソフトウェアが利用されている場合は無効化されると書かれていたところ。接続先がわからないと年齢別の制限とかもかけづらいから、仕方ないのかなあ。

support.mozilla.org

ECHを利用しているかどうか、はCloudflareのサイトで確認できるとのこと。

www.cloudflare.com

ECHが有効になっているサービスもまとめられているので、参考になる。

▼WebPKI CAマーケットシェア（2025年5月）

こちらのツイートから。

It looks like it has been over a year since I last published WebPKI market-share data. Google Trust Services is now firmly the second-largest CA by certificate issuance, with over 14 % of all certificates—up from 8 % when I last reported. The top eight issuers now account for 99… pic.twitter.com/cDgX7jAiA7
— Ryan Hurst (@rmhrisk) 2025年5月14日

Ryanさんは1年ぶりと書いているが、前回は2024年12月。

Google Trust ServicesとSSL.comがシェアを少し伸ばし、ISRG（Let's Encrypt）は横ばい、GoDaddy、DigiCert、Amazon Trust Services、Sectigoはやや減少。SSL.comが伸びてるのはEntrustからの移行だろうか。

▼Firefox@GitHub

こちらのツイートから。

FirefoxがGitHubにきた

mozilla-firefox/firefox: The official repository of Mozilla's Firefox web browser.https://t.co/JqEDzFSwTP
— κeen (@blackenedgold) 2025年5月13日