AndroidのプライベートDNS(DoT)が繋がらなくなったので、証明書をZeroSSLに切り換えた話

いろいろな都合でモバイル端末(Android/iOS)にはDNS over TLS (DoT)やDNS over HTTPS (DoH)などの技術をつかったプライベートDNSを設定していました。

そのための証明書としてLet’s Encryptを利用していたのですが先日突如としてAndroidのプライベートDNSだけ当該サーバーに繋がらなくなってしまったので、どうしたものかと思っているとちょっと興味深い情報を発見しました。

ちょうどLet’s Encryptのルート証明書の構成変更のタイミングだったみたいで、もしそれが原因なら証明書を変えるほかに解決策はありません。

物は試しと言うことでいつもお世話になっているcertbotではなくacme.shを使ってZeroSSLで証明書を取得することにしました。

結果的に言うとこの作戦はうまく動き、数日越しの問題は一応解決しました。でもこの推測が正しいのであれば、当該のAndroid端末には2021年10月のセキュリティパッチを当てたAndroid 11のPixel 4a (5G)も含まれているので、大変奇妙なことです。

影響を受けるAndroid端末は組み込みの証明書ストアにISRG Root X1を持っていないAndroid7.1以前だけだったのでは？

プライベートDNSの機能が参照する証明書ストアだけISRG Root X1を持っていなかったとしたらそれはそれで嫌な感じですね。まあ、解決できたのでよしとしましょう。