Let's Encrypt証明書発行停止、Generation Yルートのクロス署名問題で影響

Let’s Encryptが証明書発行を一時停止

世界最大級の証明書発行機関（CA）であるLet’s Encryptが2026年5月8日（日本時間5月9日）、潜在的なインシデントを検知したとして、すべての証明書発行を停止する事態が発生した。同日21時03分（UTC）までに発行は再開されたものの、新しいルート証明書への移行計画に支障が生じた形となった。

インシデントの経緯

Let’s Encryptのステータスページによると、同日18時37分（UTC）に潜在的なインシデントが確認され、予防措置として全発行業務が停止された。原因となったのは、既存のGeneration Xルートから新しいGeneration Yルートへのクロス署名証明書に関する問題である。

クロス署名とは、異なるルート証明書間の信頼チェーンを構築する仕組みだ。新しいルート証明書が広く信頼されるまでの間、既存のルートから署名を受けることで、より多くのクライアントとの互換性を確保する手法として一般的に用いられている。

影響を受けたプロファイル

今回の措置により、Let’s Encryptの「tlsserver」および「shortlived」という2つのACME証明書プロファイルの発行がGeneration Xルート証明書に切り戻された。ACME（Automatic Certificate Management Environment）プロトコルを通じて証明書を自動更新しているWebサイト運用者は、一時的に影響を受けた可能性がある。

Let’s Encryptは、全世界のWebサイトの大部分で採用されている無料SSL/TLS証明書の発行を担っており、今回の停止は短時間ではあるが、証明書の自動更新に依存する多数のサイトに影響を与えた可能性がある。

再開後の対応

発行再開後、Let’s EncryptはGeneration Yルートへの移行を一旦見送り、安定性を重視してGeneration Xルートでの発行を継続する方針を示した。今後、クロス署名証明書の問題が解決された時点で、改めて移行計画を進めるものとみられる。

Let’s Encryptのサービスはコミュニティベースでサポートされており、詳細な状況は同コミュニティフォーラムで随時確認できる。