【Debian】GlobalSignのルート証明書が有効期限切れで接続できない

昨日の1/28 21:00より、サーバに搭載されているGlobalSignのルート証明書が切れてしまった。

その時に対処した方法などのメモ。

事の発端は、急にGlobalSignの証明書を使っているサイトにサーバからアクセス出来ないという事が判明したところから。

wgetをしてみると確かにアクセス出来ない。

$ wget https://jp.globalsign.com/
--2014-01-29 16:59:02--  https://jp.globalsign.com/
Resolving jp.globalsign.com... 211.11.149.146
Connecting to jp.globalsign.com|211.11.149.146|:443... connected.
ERROR: cannot verify jp.globalsign.com's certificate, issued by `/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - G2':
  Issued certificate has expired.
To connect to jp.globalsign.com insecurely, use `--no-check-certificate'.
Unable to establish SSL connection.

しかしブラウザでアクセスしてみると普通に問題ない。

SSL Toolboxでみても問題がない。。

また、他のサーバでも現象がおきたり、おきなかったりする。

そうこう見ているうちにひとつの共通点としてDebian5で使っているサーバがダメということに気づいた。
（弊社で使っているのは今は殆どubuntu)

ということはサーバ側で持っているルート証明書が怪しいのでは考え、ルート証明書の置換えをしてみた。

以下からルート証明書をもってくる

404 Not found -ご指定のページは見つかりませんでした。│SSL・電子証明書ならGMO...

- GMOグローバルサイン株式会社のSSL・電子証明書サービスサイト

GlobalSign_Root_CA.pemとして保存してサーバに転送し、置換えを行う。

# cp -p /var/tmp/GlobalSign_Root_CA.pem /var/tmp/GlobalSign_Root_CA.pem.bk
# mv /var/tmp/GlobalSign_Root_CA.pem /etc/ssl/certs

置き換えた後にwgetしてみると、、

$ wget https://jp.globalsign.com/
--2014-01-29 17:05:25--  https://jp.globalsign.com/
Resolving jp.globalsign.com... 211.11.149.146
Connecting to jp.globalsign.com|211.11.149.146|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: `index.html'

    [ <=>                                                       ] 37,133      --.-K/s   in 0.01s

2014-01-29 17:05:25 (3.52 MB/s) - `index.html' saved [37133]

問題なく接続できた。

調べたら巷では、結構騒がれていた。

RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ – インフラエンジニアway – Powered by HEARTBEATS

弊社で提供しているhttpsのWebAPIで2014年1月28日（火）21:00～より、SSL通信の障害が発生するという事象が報告されています。
WebAPIやOpenIDでSSLエラーが起きる現象につきまして - Yahoo! JAPAN Tech Blog

古いOSを使い続けるものじゃないですね。。。

mogmet