こんにちは。CTOの馬場です。
昨晩1/28 21:00JSTにRHEL5/CentOS5にインストールされているルート証明書のうち、GlobalSignの有効期限が切れました。
伴ってREHL5/CentOS5からのHTTPS(SSL)接続にてGlobalSignの証明書を使っているサイトへの接続がエラーになるようになりました。 私の確認している範囲では、 curlコマンドやPHPのcurlライブラリなどでの接続時に接続エラーとなることに起因して以下のような影響が出ています。
※接続される側ではなくて、接続する側での問題です※
- oauthなどの外部認証が不可
- 決済などの外部連携が不可
対策
RHEL5の場合、errataが公開されているのでupdateしましょう。
Red Hat Customer Portal https://rhn.redhat.com/errata/RHEA-2014-0104.html
CentOSは まだです。 updateが出たので適用しましょう! http://lists.centos.org/pipermail/centos-announce/2014-January/020127.html
以下はupdateが出る前の暫定策でした。記念に残しておきます。
- 接続側でルート証明書を自力で書き換える( /etc/pki/tls/certs/ca-bundle.crt )
- 接続側で証明書検証をしないようにする( curlコマンドなら -k をつける)
- 検証しないのはリスクがあるのでご注意を
- 具体的にはこちら→SSL証明書検証エラーの警告を無視しないほうがいいたった1つの理由
- サーバ側の証明書をGlobalSignから別のものに変えてもらう
などで対策しましょう。
あー、びっくりした。
- [1/29 18:30追記] Yahooさんからアナウンスが出ました→WebAPIやOpenIDでSSLエラーが起きる現象につきまして - Yahoo! JAPAN Tech Blog
- [1/30 11:50追記] @nekoruriさんからのご指摘をうけて警告無視のリスクについて追記しました。@nekoruriさんありがとうございます!
- [1/30 18:00追記] GlobalSignさんからもアナウンスが出ました→旧ルート証明書の有効期限切れに伴う影響範囲について │SSL・電子証明書ならグローバルサイン
- [1/30 23:50追記] CentOSのupdateが出ました→http://lists.centos.org/pipermail/centos-announce/2014-January/020127.html
