グローバルサインのルート証明書が一時的に失効するトラブル 9
予想外の副作用 部門より
電子証明書を発行するグローバルサインが同社の発行するクロスルート証明書を失効させてしまい、そのため複数のWebサイトにHTTPSでのアクセスができなくなるというトラブルが発生していた(グローバルサインの発表、PCWorld、ZDNet)。
HTTPSで使用される電子証明書では、その証明書単独で正当性が証明されるルート証明書と、別のルート証明書によって認証が行われることで正当性が証明される中間CA証明書がある。ルート証明書は通常WebブラウザやOSに同梱されて配布されるため、古いWebブラウザやOSは新しいルート証明書を持っていないケースがあり、その場合新しいルート証明書によって認証された中間CA証明書が使えない。そのため、中間CA証明書では「クロスルート証明書」というものを利用して別のルート証明書でも認証を行えるようにしている。
問題の発端となったのは、グローバルサインが10月7日に発行した証明書失効リスト(CRL)。CRLは有効期限が過ぎた証明書を失効させるためのリストなのだが、その中に含まれていたクロスルート証明書と同じ公開鍵、同じサブジェクトネームを持つルート証明書が存在し、「より最近の有効期間開始日を持つクロスルート証明書について、元のルート証明書(R1)に対する置き換えであるとみなしてしまうような実装がされていた」たためにそのルート証明書が失効扱いとなり、このルート証明書に依存する中間CA証明書がすべて無効となってしまったという。
10月7日時点では問題は発生していなかったのだが、10月13日に証明書失効情報を提供するためのOnline Certificate Status Protocol(OCSP)で使われるデータベースが更新され、10月7日に発行されたCRLの情報を取り込んだために問題が発覚した模様。
CRL (スコア:1)
> CRLは有効期限が過ぎた証明書を失効させるためのリスト
いつもhylom氏の文章はおもしろいなぁ
もうね、説明しても何の障害か理解してくれ無くて、中の人が大変だった (スコア:1)
すぐ解消しそうな雰囲気の文面出してきたけれど、
あっちこっちのキャッシュに残ってくれて、一週間ほど影響されまくりでたまらんかったですよ。
こんな続報あとから出してきたけれどね。
10月13日に発生した証明書エラーについてのご報告(続報)
https://jp.globalsign.com/info/detail.php?no=1476856760 [globalsign.com]
Re: (スコア:0)
この図はわかりやすいな。
ところで、
普通はルート証明書とクロスルート証明書でサブジェクト名も暗号化キーも同じとすることはしない(よって厳密には正しくはないが、OCSPレスポンダはそれを想定しない実装を使用していた)って認識でおk?
Re:もうね、説明しても何の障害か理解してくれ無くて、中の人が大変だった (スコア:1)
いいえ。
subjectDNと鍵が一致していないと証明書のチェーンがつながらないのでクロスルート証明書として機能しません。
ただ、これらが同一であっても有効期間やシリアル番号などは異なるので区別することは可能。
今回の障害は、失効させるべき証明書を指定する際にこれらのパラメータ指定に不備があったんでしょう。
Re: (スコア:0)
ということは、あたかもレスポンダの実装に不備があるかのような説明をしているグローバルサインは大変不誠実ですね。
Re: (スコア:0)
「くれ無くて」
SSL/TLSについてもうちょっときっちり知りたくても (スコア:0)
日本語の本はほとんどないし、そもそも十年以上昔の本ばかり。
もはや英語に喰らいつくしかないか。
Re: (スコア:0)
翻訳して本作ってくれたら買うよ
誰かやってくれ
Re: (スコア:0)
暗号技術入門の第3版は去年刊行だし初版からもまだ10年経ってないよ。