証明書300万件を強制失効。Let's Encrypt に一体何が起きたのか？ - Qiita

無料 SSL の認証局である Let's Encrypt は、有効な証明書のうち 2.6% に当たる300万件の証明書に対し、2020年3月4日に失効手続きを行うと宣言しました。しかもその事がユーザーに通知されたのは失効手続きの数時間前です。一体、Let's Encrypt に何が起きたのでしょうか？ 私が調べた事を共有したいと思います。 この記事は Let's Encrypt の証明書失効に関する一連の出来事についてまとめた物です。今回の失効処理の対象となっているかどうかの確認方法等については、以下の記事をご覧下さい。 Let's Encrypt に重大なバグが発覚。該当サイトは2020/3/4 までに対応が必須 更新しました(2020/3/7) 影響の度合いについての記載が正しくなかったので修正 現在の Let's Encrypt の見解が正しくなかったので修正 何が起きているのか？

[Fushihara]

どうやって失効させてるんかと思ったら証明書側に失効リストのurlがあってそれを毎回チェックしてんのか。キャッシュはどの位効いてんだろ

[youichirou]

元々90日で有効期限が切れるし、そのためにサーバー側も自動化されてるから、こういう時の再発行はスムーズそう。

[i178inaba]

“認証局は次の1つ以上が発生した場合に 24時間以内に証明書を取り消すべきであり (SHOULD)、5日以内に証明書を取り消さなくてはならない (MUST)” なるほど。期限が義務として決まってんのね。

[iga_k]

解説ありがたや。証明書が失効しているか確認するコマンドも載ってる。

[nekoruri]

これがCAを運営するってことだよね。

[slash_01]

こういう事件があるとそれをきっかけに新たな知見を獲得できるという面もある。 CAAレコード知らなかった。

[jsstudy]

CA サーバーは DNS の CAA レコードを参照する必要がありますが、Boulder の CAA レコードの参照機能にバグがあり、許可されていないクライアントに対しても証明書を発行してしまった可能性がある事が分かってしまいました。

[zoe302]

:eyes:

[uva]

過去にSymantecは発行基準に違反していたのでGoogleから証明書無効化をくらってたわけか

[b-wind]

一つの認証局に大きく依存する事のリスクをどう考えるべきか

[tmatsuu]

よい

[indication]

CAを取り消された事例もあるのは、こんな規定があるからか。なんでかなーと、理由が分かってなかったのでこの記事は助かる(が、理解できてないorz)

[eru01]

CAAレコード設定してねえ気がするな。更新するか

[gabill]

しっかり統率されてるなぁ。

[marton]

q

[monster-energy-zx14]

たった300万件とみた方がよいのでは？

[mayumayu_nimolove]

知らなかったことたくさんありがたい

[Mint0A0yama]

“CA サーバーは DNS の CAA レコードを参照する必要がありますが、Boulder の CAA レコードの参照機能にバグがあり、許可されていないクライアントに対しても証明書を発行してしまった可能性がある事が分かってしまいました