Let's Encryptの問題が気になって、
UTMメーカーの記事の原文を見てみた。
日本語への機械翻訳は細かいところが不明確で信用できない。
楽に読めるようになりたい。
Let's Encryptは古いルート証明書が期限切れになった後も、
新しいルート証明書と古いルート証明書の両方へアクセス可能としていて、
どちらにアクセスするかはクライアント依存のようだ。
UTMで問題が発生するのは、ISRG Root X1 rootがまだ有効にもかかわらず
UTMは証明書のチェーンを完全に検証しようとして、
CA IdenTrust DST Root CA X3が無効であることを発見してしまうため。
UTMメーカーは問題となる期限切れの証明書を証明書ストアから削除したけれど
問題は解決しなかった。
アンカーがローカルの証明書ストアに存在しないとき、
UTMはhttp://apps.identrust.com/roots/dstrootcax3.p7cにアクセスして
証明書チェーンを再構築しようとするが、証明書チェーンが不完全なため
再構築に失敗する。
ただし、このURLが利用できない場合、UTMは最初から信頼チェーンを再構築し、ISRC Root X1 Root CA証明書を使用しようとする。
そのためには、UTMからhttp://apps.identrust.comへのアクセスをブロックすればよい。
これを実現するには、DNSブラックホーリングまたはFQDNポリシーを使用して
apps.identrust.comへのアクセスをブロックする。
具体的には、こうしろとコマンドが書いてあるけれど、どうやるんだろう。
これはコンソールに打ち込むコマンドかな?
DNSブラックホーリングって何だろう?
apps.identrust.comのIPは127.0.0.1だよ、
とUTM内のDNSに登録するってこと?