グローバルサインのルート証明書が一時的に失効するトラブル
2016年10月24日 19:49
電子証明書を発行するグローバルサインが同社の発行するクロスルート証明書を失効させてしまい、そのため複数のWebサイトにHTTPSでのアクセスができなくなるというトラブルが発生していた(グローバルサインの発表、PCWorld、ZDNet)。
HTTPSで使用される電子証明書では、その証明書単独で正当性が証明されるルート証明書と、別のルート証明書によって認証が行われることで正当性が証明される中間CA証明書がある。ルート証明書は通常WebブラウザやOSに同梱されて配布されるため、古いWebブラウザやOSは新しいルート証明書を持っていないケースがあり、その場合新しいルート証明書によって認証された中間CA証明書が使えない。そのため、中間CA証明書では「クロスルート証明書」というものを利用して別のルート証明書でも認証を行えるようにしている。
問題の発端となったのは、グローバルサインが10月7日に発行した証明書失効リスト(CRL)。CRLは有効期限が過ぎた証明書を失効させるためのリストなのだが、その中に含まれていたクロスルート証明書と同じ公開鍵、同じサブジェクトネームを持つルート証明書が存在し、「より最近の有効期間開始日を持つクロスルート証明書について、元のルート証明書(R1)に対する置き換えであるとみなしてしまうような実装がされていた」たためにそのルート証明書が失効扱いとなり、このルート証明書に依存する中間CA証明書がすべて無効となってしまったという。
10月7日時点では問題は発生していなかったのだが、10月13日に証明書失効情報を提供するためのOnline Certificate Status Protocol(OCSP)で使われるデータベースが更新され、10月7日に発行されたCRLの情報を取り込んだために問題が発覚した模様。
スラドのコメントを読む | ITセクション | インターネット | IT
関連ストーリー: Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった 2016年10月23日 証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ 2016年10月04日 Windows版Firefox 49ではWindowsの証明書ストアにインストールされたルート証明書を使用可能に 2016年09月04日 中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに 2016年09月02日 サーバー証明書切り替えにより、一部の端末でモバイルSuicaが利用不可に 2016年08月18日