パスワードを忘れた? アカウント作成
15441711 story
インターネット

Let's Encryptの9月末のルートCA証明書期限切れ、複数サイトで影響発生 26

ストーリー by nagazou
やはり発生 部門より

以前から問題となっているLet's Encryptのルート証明書「DST Root CA X3」問題だが、ZDNetの記事によると、この証明書が9月30日に期限切れになったことにより、多くのウェブサイトやサービスに問題が起きているそうだ。Security Headersの創業者Scott Helme氏の調査によると以下のサイトで影響があったとしている(ZDNetTECH+)。

Palo Alto、Bluecoat、Cisco Umbrella、Catchpoint、Guardian Firewall、Monday.com、PFsense、Google Cloud Monitoring、Azure Application Gateway、OVH、Auth0、Shopify、Xero、QuickBooks、Fortinet、Heroku、Rocket League、InstaPage、Ledger、Netlify、Cloudflare Pages

  • by Anonymous Coward on 2021年10月08日 10時07分 (#4128086)

    Open SSL アップデートできないCent の特定バージョンを使ってた方、
    ご愁傷様

    ここに返信
    • 正に自分がレンタルしてるVMがそれだった。
      # 色々何とかならないか試したけど、諦めて証明書チェックしないオプション付けて実行、で誤魔化し中。。。

    • by Anonymous Coward

      サーバー側の管理不行きやPCが古いのはなんとかしろよとしか思えないけど、
      組み込み機器、ぶっちゃけPlayStationやN 3DSはどうしようもないんでしょ。
      MSのセキュリティ担当者も3DSで検証するというネタをかましてたし。

      PSはともかく3DSは僅かに子供が使ってそうな気がする

      • by Anonymous Coward

        大人だけど3DS使ってます。
        レトロゲーを遊ぶにはちょうどいいんですよね、携帯できて画面サイズもそこそこ。大人の手には少し小さいけど。

        ブラウザを使うことはないだろうけど、カセットのアップデートの証明書も切れてたら少し悲しい。。。

    • by Anonymous Coward

      こんなときライブラリをごっそり入れ替えられるのがLinuxのいいところじゃないか。OpenSSL1.1.1は普通にコンパイル通るぞ。

      • by Anonymous Coward

        rpm なんだから srpm なり spec 持ってきてビルドするとか
        面倒だったら /usr/local に 最新のopenssl などを configure & make installすれば普通に対処できます

        というかこの程度の対処ができない人は インターネットでサーバーを公開しちゃダメです

        • by Anonymous Coward

          そもそも、これはサーバー側の問題じゃなくてクライアント側の問題なのでは?
          サーバー側は、Android 7.0 以前のクライアントをサポートするか、
          OpenSSL 1.0 クライアントをサポートするかの二者択一で、
          Android 7.0 をサポートするなら通常のチェーン、OpenSSL 1.0 クライアントを
          優先するならショートチェーンにするって話。サーバーの OpenSSL のバージョンは
          あんまり関係ないとような気がするんだけど。

          • by Anonymous Coward

            それはそうなんだけど、サーバーは純粋にサーバだけをやってるわけじゃなくて、クライアントとして他のサーバに接続することもある(例: yum update)ので、問題になってる。

    • by Anonymous Coward

      元のコメントの「Cent の特定バージョン」というのは、そのページでも言及されているCentOS 6のことかもしれないね。

      追記2: 少し検証してみたのですが、OpenSSL 1.0.1だとこの方法でも回避できない気がします。2020年11月いっぱいでメンテナンスが打ち切りとなり今はもう使われていないことになっているはずの CentOS 6ではこのバージョンが使用されています。

  • by Anonymous Coward on 2021年10月08日 12時19分 (#4128193)

    Chromeやfirefoxでwww.sankei.comとかrocketnews24.comとかblog.nflabs.jpとかあちこちのサイトで証明書エラーもしくはタイムアウトが出まくっているんだが。
    某チャットで聞くと他の人には見えてるようで、私の環境だけ?(9/30にADSL終了でネットワーク環境が変わってしまったがネットワーク経路が証明書に関係あるのか?)

    ここに返信
    • 新しい証明書が利用できるように 意図的に失効したクロスサイト証明書にアクセスできないように抑制してから
      接続するか、強引に移行した新しい中間証明書を持ってくればOK(どっちも同じ事

      • by Anonymous Coward

        よくわからん。
        「DST Root CA X3」と書いた証明書を「削除」すればいいの?

        • by Anonymous Coward

          macなら、ルート証明書を以下のリンクからダウンロードして、「アプリケーション/ユティリティ/キーチェーンアクセス.app」のシステムフォルダに追加すればいけるはず。もしかしたら、追加された証明書をダブルクリックして「信頼」を「常に信頼」にしないといけないのと、OSの再起動が必要かも。

          https://letsencrypt.org/certs/isrgrootx1.pem [letsencrypt.org]

          ただそもそもアップデートが来てないOSを使い続けているのは良くないから、早めにアップデートか買い換えたほうがいいと思う。

          • by Anonymous Coward

            Windowsなんですが…

          • by Anonymous Coward

            ありがとうございます、やってみます。確かに買い替えですかね、 隣の部屋にはmac miniはsierraですがリモートで繋ぐのも面倒くなって。iMac core2duo化石ですね。

    • by Anonymous Coward

      僕も同じですos10.11+chrome最新版で、ダメなので Lets Encryptのサイトはfirefox78.01で産経とか見てます。

    • by Anonymous Coward

      うちの場合、fortigateの問題で開けない現象が起きてましたね

    • by Anonymous Coward

      Chromeやfirefoxでwww.sankei.comとかrocketnews24.comとかblog.nflabs.jpとかあちこちのサイトで証明書エラーもしくはタイムアウトが出まくっているんだが。

      んーなりませんね3サイトとも
      Chrome beta x64 95.0.4638.40 on Windows10 Pro x64 21H1 19043.1266
      広告ブロックでサードパーティドメインをブロックしているので
      もしかしたらサードパーティ広告のほうが原因かもしれませんね

    • by Anonymous Coward

      あとですねOS10.12sierra以降にすればいいらしい又は古いfirefox78 家ではmacが古いのでel captain 10.11なので update出来ない。

    • by Anonymous Coward

      macOS 10.11 まだ結構使っている人いるんだな…

      あれルート証明書古すぎて、Apple自身のアップデート(10.12以上にあげる)も受けられなくなってるんじゃなかったけ?
      そもそも2018年くらいでセキュリティーアップデートも終わってるから、本当はアップデートするか買い替えたほうがいいと思うよ…

    • by Anonymous Coward

      apple discussionの記事です上手くいきました。

      10.11だと古いために使えなくなる証明書があります。
      無理やり使えるようにするのならば以下の方法があります

      1、そのMacの日付を2021/9/30以前に変更。

      2、キーチェーンアクセスを開き「システムルート」の「証明書」から「DST Root X3」の情報を開き信頼を「常に信頼」に変更。

      3、日付を戻す。

      これで証明書のエラーは出なくなると思います。

  • by Anonymous Coward on 2021年10月08日 19時58分 (#4128588)

    気を付けるとかは対策ではないよ。
    同じミスが繰り返さえてるってなんだかなぁ。。

    ここに返信
    • by Anonymous Coward on 2021年10月08日 20時25分 (#4128601)

      いや解決されてるけど、完全にサポート切れた古い環境使ってるユーザーのところは、その更新もないので問題になるというだけの話なんだよ
      普通の環境使ってるところは問題にならない
      # まぁ、Androidは出たばかりの12ですら、ブラウザとかは問題ないがDNS over TLSでクロス署名処理できないというバグあるけどな。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...