昨日の1/28 21:00より、サーバに搭載されているGlobalSignのルート証明書が切れてしまった。
その時に対処した方法などのメモ。
事の発端は、急にGlobalSignの証明書を使っているサイトにサーバからアクセス出来ないという事が判明したところから。
wgetをしてみると確かにアクセス出来ない。
$ wget https://jp.globalsign.com/ --2014-01-29 16:59:02-- https://jp.globalsign.com/ Resolving jp.globalsign.com... 211.11.149.146 Connecting to jp.globalsign.com|211.11.149.146|:443... connected. ERROR: cannot verify jp.globalsign.com's certificate, issued by `/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - G2': Issued certificate has expired. To connect to jp.globalsign.com insecurely, use `--no-check-certificate'. Unable to establish SSL connection.
しかしブラウザでアクセスしてみると普通に問題ない。
SSL Toolboxでみても問題がない。。
また、他のサーバでも現象がおきたり、おきなかったりする。
そうこう見ているうちにひとつの共通点としてDebian5で使っているサーバがダメということに気づいた。
(弊社で使っているのは今は殆どubuntu)
ということはサーバ側で持っているルート証明書が怪しいのでは考え、ルート証明書の置換えをしてみた。
以下からルート証明書をもってくる
404 Not found -ご指定のページは見つかりませんでした。│SSL・電子証明書ならGMO... - GMOグローバルサイン株式会社のSSL・電子証明書サービスサイト |
GlobalSign_Root_CA.pemとして保存してサーバに転送し、置換えを行う。
# cp -p /var/tmp/GlobalSign_Root_CA.pem /var/tmp/GlobalSign_Root_CA.pem.bk # mv /var/tmp/GlobalSign_Root_CA.pem /etc/ssl/certs
置き換えた後にwgetしてみると、、
$ wget https://jp.globalsign.com/ --2014-01-29 17:05:25-- https://jp.globalsign.com/ Resolving jp.globalsign.com... 211.11.149.146 Connecting to jp.globalsign.com|211.11.149.146|:443... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: `index.html' [ <=> ] 37,133 --.-K/s in 0.01s 2014-01-29 17:05:25 (3.52 MB/s) - `index.html' saved [37133]
問題なく接続できた。
調べたら巷では、結構騒がれていた。
RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ – インフラエンジニアway – Powered by HEARTBEATS
弊社で提供しているhttpsのWebAPIで2014年1月28日(火)21:00~より、SSL通信の障害が発生するという事象が報告されています。 WebAPIやOpenIDでSSLエラーが起きる現象につきまして - Yahoo! JAPAN Tech Blog |
古いOSを使い続けるものじゃないですね。。。
こんにちは。virapture…
View Comments
Your point of view caught my eye and was very interesting. Thanks. I have a question for you. https://accounts.binance.com/ur/register?ref=53551167
Your point of view caught my eye and was very interesting. Thanks. I have a question for you.