Let's Encryptの9月末のルートCA証明書期限切れ、複数サイトで影響発生 27
ストーリー by nagazou
やはり発生 部門より
やはり発生 部門より
以前から問題となっているLet's Encryptのルート証明書「DST Root CA X3」問題だが、ZDNetの記事によると、この証明書が9月30日に期限切れになったことにより、多くのウェブサイトやサービスに問題が起きているそうだ。Security Headersの創業者Scott Helme氏の調査によると以下のサイトで影響があったとしている(ZDNet、TECH+)。
Palo Alto、Bluecoat、Cisco Umbrella、Catchpoint、Guardian Firewall、Monday.com、PFsense、Google Cloud Monitoring、Azure Application Gateway、OVH、Auth0、Shopify、Xero、QuickBooks、Fortinet、Heroku、Rocket League、InstaPage、Ledger、Netlify、Cloudflare Pages
皆さんご苦労さま (スコア:1)
Open SSL アップデートできないCent の特定バージョンを使ってた方、
ご愁傷様
Re:皆さんご苦労さま (スコア:2)
正に自分がレンタルしてるVMがそれだった。
# 色々何とかならないか試したけど、諦めて証明書チェックしないオプション付けて実行、で誤魔化し中。。。
Re: (スコア:0)
サーバー側の管理不行きやPCが古いのはなんとかしろよとしか思えないけど、
組み込み機器、ぶっちゃけPlayStationやN 3DSはどうしようもないんでしょ。
MSのセキュリティ担当者も3DSで検証するというネタをかましてたし。
PSはともかく3DSは僅かに子供が使ってそうな気がする
Re: (スコア:0)
大人だけど3DS使ってます。
レトロゲーを遊ぶにはちょうどいいんですよね、携帯できて画面サイズもそこそこ。大人の手には少し小さいけど。
ブラウザを使うことはないだろうけど、カセットのアップデートの証明書も切れてたら少し悲しい。。。
Re: (スコア:0)
こんなときライブラリをごっそり入れ替えられるのがLinuxのいいところじゃないか。OpenSSL1.1.1は普通にコンパイル通るぞ。
Re: (スコア:0)
rpm なんだから srpm なり spec 持ってきてビルドするとか
面倒だったら /usr/local に 最新のopenssl などを configure & make installすれば普通に対処できます
というかこの程度の対処ができない人は インターネットでサーバーを公開しちゃダメです
Re: (スコア:0)
そもそも、これはサーバー側の問題じゃなくてクライアント側の問題なのでは?
サーバー側は、Android 7.0 以前のクライアントをサポートするか、
OpenSSL 1.0 クライアントをサポートするかの二者択一で、
Android 7.0 をサポートするなら通常のチェーン、OpenSSL 1.0 クライアントを
優先するならショートチェーンにするって話。サーバーの OpenSSL のバージョンは
あんまり関係ないとような気がするんだけど。
Re: (スコア:0)
それはそうなんだけど、サーバーは純粋にサーバだけをやってるわけじゃなくて、クライアントとして他のサーバに接続することもある(例: yum update)ので、問題になってる。
Androidを救うためトロッコに轢かれたOpenSSL 1.0.2 (スコア:0)
https://www.walbrix.co.jp/article/openssl-102-letsencrypt-crisis.html [walbrix.co.jp]
Re: (スコア:0)
元のコメントの「Cent の特定バージョン」というのは、そのページでも言及されているCentOS 6のことかもしれないね。
そのせいなのか? (スコア:0)
Chromeやfirefoxでwww.sankei.comとかrocketnews24.comとかblog.nflabs.jpとかあちこちのサイトで証明書エラーもしくはタイムアウトが出まくっているんだが。
某チャットで聞くと他の人には見えてるようで、私の環境だけ?(9/30にADSL終了でネットワーク環境が変わってしまったがネットワーク経路が証明書に関係あるのか?)
Re:レッツの中間証明であるクロスサイト証明が失効したからね、、、 (スコア:0)
新しい証明書が利用できるように 意図的に失効したクロスサイト証明書にアクセスできないように抑制してから
接続するか、強引に移行した新しい中間証明書を持ってくればOK(どっちも同じ事
Re: (スコア:0)
よくわからん。
「DST Root CA X3」と書いた証明書を「削除」すればいいの?
Re: (スコア:0)
macなら、ルート証明書を以下のリンクからダウンロードして、「アプリケーション/ユティリティ/キーチェーンアクセス.app」のシステムフォルダに追加すればいけるはず。もしかしたら、追加された証明書をダブルクリックして「信頼」を「常に信頼」にしないといけないのと、OSの再起動が必要かも。
https://letsencrypt.org/certs/isrgrootx1.pem [letsencrypt.org]
ただそもそもアップデートが来てないOSを使い続けているのは良くないから、早めにアップデートか買い換えたほうがいいと思う。
Re: (スコア:0)
Windowsなんですが…
Re: (スコア:0)
Windows XPかなにか?
Re: (スコア:0)
Windows7です。
Re: (スコア:0)
ありがとうございます、やってみます。確かに買い替えですかね、 隣の部屋にはmac miniはsierraですがリモートで繋ぐのも面倒くなって。iMac core2duo化石ですね。
Re: (スコア:0)
僕も同じですos10.11+chrome最新版で、ダメなので Lets Encryptのサイトはfirefox78.01で産経とか見てます。
Re: (スコア:0)
うちの場合、fortigateの問題で開けない現象が起きてましたね
Re: (スコア:0)
Chromeやfirefoxでwww.sankei.comとかrocketnews24.comとかblog.nflabs.jpとかあちこちのサイトで証明書エラーもしくはタイムアウトが出まくっているんだが。
んーなりませんね3サイトとも
Chrome beta x64 95.0.4638.40 on Windows10 Pro x64 21H1 19043.1266
広告ブロックでサードパーティドメインをブロックしているので
もしかしたらサードパーティ広告のほうが原因かもしれませんね
Re: (スコア:0)
あとですねOS10.12sierra以降にすればいいらしい又は古いfirefox78 家ではmacが古いのでel captain 10.11なので update出来ない。
Re: (スコア:0)
macOS 10.11 まだ結構使っている人いるんだな…
あれルート証明書古すぎて、Apple自身のアップデート(10.12以上にあげる)も受けられなくなってるんじゃなかったけ?
そもそも2018年くらいでセキュリティーアップデートも終わってるから、本当はアップデートするか買い替えたほうがいいと思うよ…
Re: (スコア:0)
apple discussionの記事です上手くいきました。
10.11だと古いために使えなくなる証明書があります。
無理やり使えるようにするのならば以下の方法があります
1、そのMacの日付を2021/9/30以前に変更。
2、キーチェーンアクセスを開き「システムルート」の「証明書」から「DST Root X3」の情報を開き信頼を「常に信頼」に変更。
3、日付を戻す。
これで証明書のエラーは出なくなると思います。
根本的な対策がなぜか出ない。。 (スコア:0)
気を付けるとかは対策ではないよ。
同じミスが繰り返さえてるってなんだかなぁ。。
Re:根本的な対策がなぜか出ない。。 (スコア:1)
いや解決されてるけど、完全にサポート切れた古い環境使ってるユーザーのところは、その更新もないので問題になるというだけの話なんだよ
普通の環境使ってるところは問題にならない
# まぁ、Androidは出たばかりの12ですら、ブラウザとかは問題ないがDNS over TLSでクロス署名処理できないというバグあるけどな。
Filezilla (スコア:0)
最新は適応済みなのでご注意を
旧バージョンつかうか
ffftpなどでお茶を濁すか
某国内ホスティングは
現行プランでのftp Over TLS対応に匙投げたり
色々細々と問題が顕在化中