システムエンジニアの大貫です。

 

サイトの暗号化するのに必要なSSL証明書ですが、
先日、すでに正常に発行されているSSL証明書が原因でサイトに
アクセスできなくなるというトラブルが発生したというニュースが流れ、
衝撃を受けました。

発生時刻としては、2016年10月13日の「16時頃～20時頃」という
4時間でしたが、すでに発行されているSSL証明書の「中間CA証明書」が、
一部環境で、「有効期限が切れたと判断」され、
サイトにアクセスできない状態になったとのことでした。

SSL証明書は、以前記載した通り、「組織が存在していることを証明する物」
でもあります。

では誰が組織が存在していることを証明するのでしょうか？

それはシマンテックやグローバルサインなどの「ルート認証局」と
いわれるSSL認証機関になります。
このSSL認証局などから発行されたSSL証明書かどうかを解析し、
信頼性がある、信頼性がないので危険性があるとブラウザが判断しているのです。

このSSL認証局の情報は、皆さんがお使いのブラウザに、最初から入っていて
対象のSSL認証局を通してSSL証明書が発行されているか判断していますが、
古いブラウザには、最新の認証局の情報が入っていません。

そこで登場するのが「クロスルート」という考え方です。

通常、「SSL証明書」を認証する際は、「中間証明書」の内容を元に
ブラウザにインストールされている「ルート証明書」を確認し、
正しい認証局から認証されているかを確認するのですが、
「ルート証明書」が入っていなかった場合、認証しあっている
別の認証局の「ルート証明書」で、代わりに認証を行っているのですが
これが「クロスルート」という考え方です。

今回のトラブルは、この「クロスルート」の仕組み上でトラブルが発生し、
古い認証局を失効して、それに関連付いているクロスルートの証明書も失効したのですが、
現行のルート認証局でも同じ名前を使っていたので、現行の中間証明書も
失効扱いとなってしまい、サイトが閲覧できなくなってしまったようでした。

 

今回は、SSL認証局が発生させたトラブルでしたが、
プログラムも、関係ないと思ったところや、簡単に修正できそうな部分を
何も考えずに修正をすると、全く意図していなかった部分で
トラブルが発生することがあります。

 

簡単に修正を行った結果、サイトを停止させてしまい、お客様にご迷惑を
欠けてしまわないように、弊社でも、事前にしっかりと影響範囲を
調査したうえで、作業を行わせていただきたいと思います。

 

※参考）ニュース記事
https://jp.globalsign.com/info/detail.php?no=1476381069