10/14/2016

グローバルサインの証明書の失効問題

Hacker Newsより。グローバルサインの日本サイトに掲載されている障害情報を見ると、まるでOSやブラウザが原因のように読めるが、英語の謝罪文はグローバルサインがクロス証明書を失効させたら想定外の問題が起きたと読める...(超訳)。

大切なグローバルサインのお客様御中

皆様はお気付きのことと思いますが、我々は皆様のビジネスに影響を与える内部プロセス(詳細は下記)の問題を起こしました。根本原因を特定する間、我々は皆様にご迷惑をおかけした問題に対して深くお詫びし、問題を積極的に解決することをお約束します。

グローバルサインはいくつかのルート証明書を管理しています。そして、ブラウザ偏在理由で様々なプラットフォームに渡る有効性を最大限に高めるため、それらのルート証明書間でいくつかのクロス証明書を提供しています。それらのリンクのいくつかを削除する予定されていた作業の一環として、二つのルート証明書をリンクしていたクロス証明書を失効しました。CRL応答は1週間で使用可能になりましたが、提供するOCSP応答がもたらした想定外の結果(いくつかのブラウザで不正確に推測が行われている)が今朝明らかになりました。そして、クロス署名されたルート証明書が事実とは異なる中間証明書を失効されました。

グローバルサインはOCSPデータベースからクロス証明書を削除し、全てのキャッシュをクリアしました。しかし、CDNの全体的な性質やキャッシュの有効性から、エンドユーザのところまでレスポンスをプッシュし続けてました。エンドユーザは知識不足あるいはパーミッション不足でそれらのキャッシュを簡単にはクリアできません。新しいユーザは正しいレスポンスを受け取るため、影響はありません。

問題はキャッシュされたレスポンスが期限切れなると、4日間は自身を修正し、我々は想定した動きではないと認識しています。しかし、その間にも、グローバルサインはお客様に対し、失効されたクロス証明書の影響がない別のルート証明書の認証局で証明書を発行する代替案を提供します。しかも、同じ偏在性を提供し、証明書自身を再発行することを必要としません。

我々は現在問題を解決することを手助けするための詳細な説明書を作成中で、作成次第お知らせします。

もうしばらくお待ち下さい。

Lila Kee
最高製品責任者
GMOグローバルサイン

スラド