2025-12-16 の一覧へ戻るホーム
Upcoming Changes to Let's Encrypt Certificates

2025/12/16 4:30

Upcoming Changes to Let's Encrypt Certificates

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

(欠落している要素を取り入れつつ明確さを保つ)**

要約

Let’s Encrypt は 2026年5月13日 に新しい「Generation Y」ルート/中間階層を導入します。このチェーンは現在のルート X1 と X2 でクロス署名されるため、古い証明書が有効なまま即座に信頼できます。変更により、その日付で既定のクラシックプロファイルが Generation Y に自動切替され、2026年2月頃 に TLS クライアント認証(TLS‑CA)のサポートが削除されます。TLS‑CA がまだ必要なユーザーは、2026年5月までレガシー 

tlsclient
プロファイルを使用し続けることができ、その後も移行します。

tlsserver
shortlived
プロファイルはすでに今週から Generation Y の中間証明書を発行しています。短期証明書はホスト名に加えて IP アドレスもサポートするようになりました。展開は CA/Browser Forum Baseline Requirements に従い、短命期間の導入を進めます:早期採用者は 2025年
tlsserver
プロファイルで 45 日間証明書を試すことができます;既定の有効期間は 2027年 に 64 日に減少し、2028年 に 45 日になります。

ほとんどのユーザーは今すぐ行動する必要はありませんが、TLS クライアント認証や長期証明書に依存している組織は、2026年5月前にワークフローを調整する計画を立てるべきです。詳細なタイムラインは Let’s Encrypt のブログに掲載されており、コミュニティはその投稿を確認したりフォーラムで質問したりすることが奨励されています。

本文

Let’s Encryptは、発行する証明書にいくつかの更新を導入しています。新しいルート証明書、TLSクライアント認証の廃止、および証明書有効期間の短縮が含まれます。これらの変更を段階的に展開するために、ACMEプロファイルを使用しており、ユーザーはその一部がいつ有効になるかを制御できます。ほとんどのユーザーには操作は不要です。

Let’s Encryptは、新しいルート認証局(CA)を2つ、インターミディエイト CA を6つ追加し、総称して「Generation Y」階層と呼びます。これらは既存の Generation X ルート(X1 と X2)からクロスサインされているため、現在信頼されている場所では引き続き機能します。

ほとんどのユーザーはデフォルトのクラシックプロファイルで証明書を受け取ります。別のプロファイルにオプトインしていない限りです。このプロファイルは2026年5月13日に新しい Generation Y 階層へ切り替わります。新しい中間CA は「TLS クライアント認証」拡張キー使用目的を含まないため、来たるルートプログラム要件に準拠しています。以前に2026年2月から TLS クライアント認証を終了すると発表しましたが、これは Generation Y への切替と同時になります。問題が発生したり、より長い時間が必要な場合は、2026年5月まで tlsclient プロファイルを使用できます。このプロファイルは既存の Generation X ルートに残ります。

tlsserver または shortlived プロファイルで証明書をリクエストしているユーザーは、今週から Generation Y 階層の証明書が発行されるようになります。この切替は、Let’s Encrypt の短命証明書(IP アドレスへのサポートも含む)が一般提供にオプトインできることを意味します。

また、CA/ブラウザフォーラム Baseline Requirements の今後の変更に対応するため、証明書有効期間を短縮するタイムラインを発表しました。来年には tlsserver プロファイルで 45 日間の証明書を早期採用者やテスト向けにオプトインできます。2027 年にはデフォルトの証明書寿命を 64 日に、そして 2028 年には 45 日に短縮します。詳細と完全なタイムラインは、「証明書有効期間を 45 日に減らす」投稿をご覧ください。

ほとんどのユーザーには操作は不要ですが、それぞれの変更点について詳しく知りたい場合は、リンクされたブログ記事を確認することをおすすめします。ご不明な点がございましたら、このフォーラムで遠慮なくお問い合わせください。

同じ日のほかのニュース

一覧に戻る →

2025/12/16 6:37

Fix HDMI-CEC weirdness with a Raspberry Pi and a $7 cable

## Japanese Translation: > **概要:** > Samsung S95B TV(論理アドレス 0x00)、Denon AVR‑X1700H(0x05)、Apple TV、PS5、Xbox Series X、Nintendo Switch 2、および `/dev/cec0` をリッスンする Raspberry Pi 4 が含まれるホームシアター構成で、テレビの入力にのみ切り替えるコンソールが原因となるオーディオルーティング問題を著者は解決します。 > Pi(論理アドレス 0x01)から AVR に「System Audio Mode Request」パケット(`15:70:00:00`)を送信することで、受信機は ARC を有効化し、すべてのコンソールオーディオをテレビではなく自身経由でルーティングします。 > 著者は Python スクリプト `cec_auto_audio` でこれを実装しており、長時間稼働する `cec-client -d 8` を起動し、TRAFFIC 行から Active Source イベント(オペコード 0x82)を解析し、以前に Set System Audio Mode(オペコード 0x72)が検出されていない場合に毎回ウェイク時にパケットを送信します。 > スクリプトは systemd サービス `cec_auto_audio.service` としてパッケージ化され、起動時に開始されます。これにより、多層の HomeKit/Eve オートメーションと比べて低レイテンシで軽量な代替手段を提供します。 > トラブルシューティングガイドには、スキャン(`echo "scan" | cec-client -s`)、トラフィック監視(`cec-client -m`)、および欠落オペコード(0x82, 0x84, 0x70, 0x72)の良いケースと悪いケースの比較が含まれます。 > 残るエッジケースとして、コンソールのスタンバイがテレビチューナーを起動させる場合や HomeKit オートメーションがアクティブなソースなしでテレビをオンにする場合などには、追加の状態機械ロジックが必要になる可能性があります。著者はコミュニティメンバーに対し、より広範なトラブルシューティングのために CEC パケットトレースを共有してもらうよう呼びかけています。

2025/12/11 8:54

Nature's many attempts to evolve a Nostr

## Japanese Translation: **要約** 人気のあるアプリケーションの普遍的な設計は、ユーザーのデータと暗号鍵を所有する単一クラウドサーバーに集中しています(「あなたの鍵がないなら、あなたのデータではない」)。この中央集権化は封建制や寡占構造を生み出します。サーバーは橋を上げてユーザーを切り離す城のような存在です。フェデレーション(例:Mastodon、Matrix)はサーバー間で通信できるようにしますが、鍵とデータは依然としてサーバーの管理下にあり、ネットワーク理論はそのようなフェデレートシステムがスケールフリー分布へ収束し、支配的なハブを生み出すと予測しています。これはGmail/ProtonMail のメール寡占や Facebook Threads の ActivityPub ノードが Fediverse を支配する現象として観察されています。 セルフホスティングは居住IPの禁止やインフラコストにより多くのユーザーが個人サーバーから離れるため、非実用的になります。ピアツーピアネットワークはユーザー所有鍵を提供しますが、拡張性、信頼できないノード、スーパーpeer の中央集権化、複雑な最終的一致メカニズム、および長い多ホップルーティング遅延に悩まされます。 Nostr プロトコルは「リレーモデル」を提案します。単純で信頼できないリレーは署名されたメッセージを転送するだけで、相互通信しません。これにより \(N^2\) スケーリング問題を回避します。ユーザーは数個(通常 2–10)のリレーユーザーに購読し、自分のデータと鍵を完全に制御でき、リレーが失敗または停止した場合でも信頼性高く離脱できます。広く採用されれば、これはユーザーに真の所有権と単一点障害への耐久性を与え、中央集権サーバーに依存する企業に対し、よりユーザー中心で分散型アーキテクチャとの競争を強いるでしょう。これにより、ソーシャルメディアやメッセージングは真の分散モデルへと再構築される可能性があります。

2025/12/12 15:47

“Are you the one?” is free money

## 日本語訳: --- ## 要約 この記事は、番組「Are You the One?」の参加者が数学モデルを用いて、最終エピソード前にほぼ確実に全ての正しいカップルを推測できる方法を説明しています。戦略的にトゥルーブースとエピソード終了時のマッチアップデータを活用することで達成されます。 - **ゲーム設定**:10人の男性と10人の女性が、色でのみ明らかになる10組の完璧なペアに分けられます。参加者はすべてのペアを正しく推測し、100万ドルを獲得します。 - **情報源**: - *トゥルーブース* は特定のペアが成立しているかどうか(バイナリ結果)を確認します。 - *エピソードマッチアップ* はそのラウンドで正しいペアの総数のみを明らかにします。 「ブラックアウト」エピソード(0件マッチ)は、そのラウンド内のすべてのペアについて否定的な情報を提供し、複数のトゥルーブースと同等の効果があります。 - **モデル**:著者は OR‑Tools の最適化フレームワークを構築し、シーズン開始時に約400万件の有効マッチング(≈4 百万)を追跡し、各イベント後に更新します。シーズン1ではエピソード8でモデルが「解読」されました。 - **情報理論**:各イベントは約1〜1.6ビットの情報量を提供します。シミュレーションでは ~1.23 bits/イベント、実際の番組データでは ~1.39 bits/イベント、最適戦略で最大 1.59 bits/イベントが得られます。全検索空間は約22ビット(10!)を必要とするため、完璧な戦略には平均して約1.1 bits/イベントが十分です。 - **結果**: - ランダムペアリングでは、カップル数に関係なく平均正解スコアは約1になります。 - 100シーズンのランダムシミュレーションでモデルを使用した成功率は74%でしたが、情報理論戦略では98%に上昇します。 - 実際の番組データ(7シーズン)では71%の成功率と約1.39 bits/イベントとなり、純粋なランダムよりわずかに優れていますが、理論的最適値にはまだ届きません。 - **今後の作業**:著者はインタラクティブなウェブツールを開発予定で、ユーザーが異なる戦略を試し、必要な情報ビット数を確認し、実際のデータとパフォーマンスを比較できるようにします。 **影響** 本研究は参加者やプロデューサーに対して効率的な質問設計のための具体的なアルゴリズムフレームワークを提供し、エンターテインメントにおける組合せ最適化とベイズ推論の実用例を示すとともに、研究者にリアルワールドケーススタディとしてさらなる探求の機会を与えます。

Upcoming Changes to Let's Encrypt Certificates | そっか~ニュース