パスワードを忘れた? アカウント作成
12960485 story
インターネット

グローバルサインのルート証明書が一時的に失効するトラブル 9

ストーリー by hylom
予想外の副作用 部門より

電子証明書を発行するグローバルサインが同社の発行するクロスルート証明書を失効させてしまい、そのため複数のWebサイトにHTTPSでのアクセスができなくなるというトラブルが発生していた(グローバルサインの発表PCWorldZDNet)。

HTTPSで使用される電子証明書では、その証明書単独で正当性が証明されるルート証明書と、別のルート証明書によって認証が行われることで正当性が証明される中間CA証明書がある。ルート証明書は通常WebブラウザやOSに同梱されて配布されるため、古いWebブラウザやOSは新しいルート証明書を持っていないケースがあり、その場合新しいルート証明書によって認証された中間CA証明書が使えない。そのため、中間CA証明書では「クロスルート証明書」というものを利用して別のルート証明書でも認証を行えるようにしている。

問題の発端となったのは、グローバルサインが10月7日に発行した証明書失効リスト(CRL)。CRLは有効期限が過ぎた証明書を失効させるためのリストなのだが、その中に含まれていたクロスルート証明書と同じ公開鍵、同じサブジェクトネームを持つルート証明書が存在し、「より最近の有効期間開始日を持つクロスルート証明書について、元のルート証明書(R1)に対する置き換えであるとみなしてしまうような実装がされていた」たためにそのルート証明書が失効扱いとなり、このルート証明書に依存する中間CA証明書がすべて無効となってしまったという。

10月7日時点では問題は発生していなかったのだが、10月13日に証明書失効情報を提供するためのOnline Certificate Status Protocol(OCSP)で使われるデータベースが更新され、10月7日に発行されたCRLの情報を取り込んだために問題が発覚した模様。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年10月24日 18時21分 (#3102327)

    > CRLは有効期限が過ぎた証明書を失効させるためのリスト

    いつもhylom氏の文章はおもしろいなぁ

  • すぐ解消しそうな雰囲気の文面出してきたけれど、
    あっちこっちのキャッシュに残ってくれて、一週間ほど影響されまくりでたまらんかったですよ。

    こんな続報あとから出してきたけれどね。

    10月13日に発生した証明書エラーについてのご報告(続報)
    https://jp.globalsign.com/info/detail.php?no=1476856760 [globalsign.com]

    • by Anonymous Coward

      この図はわかりやすいな。

      ところで、
      普通はルート証明書とクロスルート証明書でサブジェクト名も暗号化キーも同じとすることはしない(よって厳密には正しくはないが、OCSPレスポンダはそれを想定しない実装を使用していた)って認識でおk?

      • いいえ。
        subjectDNと鍵が一致していないと証明書のチェーンがつながらないのでクロスルート証明書として機能しません。
        ただ、これらが同一であっても有効期間やシリアル番号などは異なるので区別することは可能。
        今回の障害は、失効させるべき証明書を指定する際にこれらのパラメータ指定に不備があったんでしょう。

        親コメント
        • by Anonymous Coward

          ということは、あたかもレスポンダの実装に不備があるかのような説明をしているグローバルサインは大変不誠実ですね。

    • by Anonymous Coward

      「くれ無くて」

  • by Anonymous Coward on 2016年10月25日 11時06分 (#3102598)

    日本語の本はほとんどないし、そもそも十年以上昔の本ばかり。
    もはや英語に喰らいつくしかないか。

    • by Anonymous Coward

      翻訳して本作ってくれたら買うよ
      誰かやってくれ

    • by Anonymous Coward

      暗号技術入門の第3版は去年刊行だし初版からもまだ10年経ってないよ。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...