最終更新GlobalSign のルート証明機関としての取り組みは今日の午後、失敗に終わりました。つまり、通常のプロトコルをまったくサポートできないということです。
その結果、大小さまざまな多くの Web サイトで HTTPS 証明書が誤って削除され、一部のユーザーのブラウザーが Web サイトを信頼しなくなり、アクセスを拒否したり、アクセスをためらったりするようになりました。
具体的には、GlobalSignが特別な相互証明書を更新する際に、誤って中間証明書の失効を引き起こしたようです。これにより信頼チェーンが破壊され、最終的にGlobalSignが顧客に発行したSSL/TLS証明書が無効になりました。復旧には数日かかる可能性があり、ユーザーはお気に入りのウェブページを簡単に閲覧できなくなる可能性があります。
GlobalSignは、ウェブサイトの誤って無効化された証明書の修正には来週初めまでかかる可能性があると見積もっています。同社は、IT管理者や壊れたHTTPS証明書の修復を希望する人々向けにサポートページを開設しました。
グローバルサイン社は、世界規模での証明書失効は社内変更による「予期せぬ結果」であり、ブラウザなどのソフトウェアが証明書が焼却されたと「誤って推測」したと主張した。(その後、同社は自社のシステムに問題があったことを認めた。)
本日の障害の影響を受けていない方は幸運です。ブラウザ、アプリ、その他のソフトウェアによってキャッシュおよび失効ポリシーが多岐にわたるため、すべてのユーザーが影響を受けるわけではありません。お使いのアプリケーションがまだ失効情報を取得していない場合は問題ありませんが、取得している場合は、証明書失効リストのキャッシュを削除してみてください(WindowsおよびmacOSでの手順については上記のリンクをご覧ください)。
「それがPKIの残念なところです。ブラウザによって更新レベルが異なるのです」とGlobalSignの戦略プロジェクトディレクター、スティーブ・ロイランス氏はThe Regに語った。
HTTPS 証明書が誤って取り消されたため、Wikipedia が Google Chrome でブロックされました (クリックして拡大)
ほんの数時間前、米国ニューハンプシャー州に拠点を置く企業 GlobalSign が、オンライン証明書ステータス プロトコル (OCSP) に問題を抱えていることが明らかになりました。OCSP は、ネットユーザーが SSL/TLS を使用して正規のサイトに接続していることを保証する公開鍵証明書の失効ステータスを取得するために使用されます。
「現在、一部の証明書に証明書失効/エラーメッセージが表示されるという既知の問題が発生しています」とGlobalSignの担当者は先にツイートした。
現在、OCSPに問題が発生しており、証明書に関する警告メッセージが表示されています。できるだけ早く修正いたします。
— GlobalSign (@globalsign) 2016年10月13日
Twitterでの苦情に対し、GlobalSignは自社側で問題を解決したと述べたものの、変更がインターネットの複雑なキャッシュの迷路を通り抜けるまでには時間がかかると強調した。同社のステータスページには次のように記載されている。
現在、一部の証明書に証明書失効/エラー メッセージが表示されるという既知の問題が発生しています。
残念ながら、キャッシュ ロンダリングは誰もが実行できるわけではない難しいプロセスであり、技術にあまり詳しくない人はしばらくの間、証明書エラーに悩まされる可能性があります。
OSCP/CRLキャッシュのクリアがうまくいかなかった場合は、現在も解決に向けて取り組んでいます。サービス停止について深くお詫び申し上げます。引き続き状況をお知らせいたします。
— GlobalSign (@globalsign) 2016年10月13日
記事の公開時点では、不審な取り消しを修正するのにどれだけの時間がかかるのかについて人々は憤慨している。
@globalsign は当社の 5 つのウェブショップに多大な影響を及ぼしています。修正の予定時刻はわかりますか?
— レミ・グエン (@reminguyen) 2016 年 10 月 13 日
@globalsign 今後数時間以内に解決策や予定時刻がわからない場合は、すぐに他のオプションの検討を開始します。
— ヤルマール・テオドルソン (@hjalmarth) 2016 年 10 月 13 日
影響を受けるサイトには、 Financial Times、Guardian、Wikipedia、Logmein、Dropbox などが含まれます。
今日の午後、GlobalSign の広報担当者は、この障害についてさらに詳しく説明した。
GlobalSign は複数のルート証明書を管理しており、互換性とブラウザの普遍性を考慮して、さまざまなプラットフォーム間での有効性を最大限に高めるために、ルート証明書間で複数の相互証明書を提供しています。
これらのリンクの一部を削除するための計画的な作業の一環として、2つのルートを結び付ける相互証明書が失効されました。CRL応答は1週間動作していましたが、OCSP応答の提供による予期せぬ結果が今朝明らかになりました。一部のブラウザは、相互署名されたルートが中間証明書を失効させたと誤って推測していましたが、実際にはそうではありませんでした。
GlobalSignはその後、OCSPデータベースから当該クロス証明書を削除し、すべてのキャッシュをクリアしました。しかし、CDNのグローバルな性質とキャッシュの有効性により、これらの応答の一部は依然としてエンドユーザーまで届いていました。エンドユーザーは、知識不足や許可不足のため、キャッシュを簡単にクリアできない場合があります。新規ユーザー(訪問者)は、有効な応答を受信できるため、影響を受けません。キャッシュされた応答の有効期限が切れる4日後には、この問題は自然に解消されますが、これは理想的ではないことは承知しています。しかしながら、その間、GlobalSignは、失効したクロス証明書の影響を受けず、かつ同様の普遍性を提供する別のルートCAによって発行された代替CAをお客様に提供します。
一方、GlobalSign は顧客に次のように伝えています...®
@JZdziarski @TheRegister これが私たち顧客に送られてきたものです。 pic.twitter.com/qADNP8x5ez
— Koen Rouwhorst (@koenrh) 2016年10月13日
この速報は、GlobalSign からのコメントと説明を含めるために公開後に更新されました。
