Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件

これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの（具体的にいうと2016年くらいまでの）古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef

[imwks]

今朝からlet'sEncryptでSSLしてるサーバにphp file_get_contentsで通信できなくなってるのはこの原因かもしれないなぁ・・取り急ぎfile_get_contentsのoptionでssl verify_peer=false,verify_peer_name=falseで対応してるけど・・/php curlでもだった

[gfx]

今朝からなんかとあるdockerイメージでcurlでHTTPSリソースをDLできなくなっていて困っているのだけど、もしかしてこれか。

[kazuhooku]

規格では、validなパスが見つかるまで全探索しないといけないはずだけど、過去の署名を検証したいみたいなユースケースもあるわけで、有効期限切れのルートを無視するかどうかとかエッジケースの匂いがプンプン

[n2s]

期限切れのルート証明書が残っていたら、それを参照して無効判定してしまう。クロスルート証明書であっても無効判定になってしまうのは流石に「バグ」だと思う。

[prjpn]

これを機に大人しくdebian系に切り替えるのが吉

[b-wind]

“むしろ遺言のような証明書で信頼を延命しようというセコい判断の方に疑問が持たれるのではないだろうか。”

[dot]

ほーん関係無いか、と思って油断していたら案の定 SSLエラー出ていたので、サーバに yum install ca-certificates して回ってきたところ。

[flirt774]

あぁ PHP の file_get_contents 踏んでた。使わない機能だったので廃止の代替処理してた。通信はドミノみたいに繋がってて、関連するとは思わなかった

[robokichi]

squidでSSL Bumpしてるけどこのサイトも期限切れで見れんかった。ca-certificatesのアップデート入れてsquid再起動したら見れるようになった。他にも見れんかったサイトはこれが原因か。

[dollarss]

面白い上にわかりやすいw

[halkgr]

半日破滅した

[asakura-t]

これに引っかかってたっぽい／OpenSSL1.0.1sでも削除したらなんとかなった（1.0.1でダメかも？というのは検証したんだろ。後ろのsとかの違い？／OSの違いかも。記事はCentOSだけどこちらはFreeBSDで確認した）

[rlho]

まさにこの事故にあい1日潰れてしまった…

[u1_113]

事故った

[inopie]

なるほどこういう問題が。

[tmatsuu]

わいわい

[pandafire]

分かりやすい上に面白かった。

[akulog]

これだったのか…

[rryu]

1.1では発生しないのは意図的に挙動を変えたのか色々変えているうちに変わってしまったのかが気になる。

[dltlt]

「死んだ奴の証文は OpenSSL 1.1では単に無視されるようです（なので死んだやつの証文を信頼してくれてるわけではない）」

[ryuichi1208]

fmfm

[kuippa]

ほーん

[nikoli]

この実装の違いは面白いけど、Baltimore CyberTrust Rootが終焉を迎えるときはどんな騒ぎになるかと思うと気が重い…

[cj3029412]

すきすきー🐈💕🐾貴重wwwwwww ((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

[IGA-OS]

「仕様です」と言われると、飲み込まざるを得ないアレ

[slash_01]

こいつは厄介。。

[kuni92]

curlはNSSを使っているがwgetはOpenSSLを使っている CentOS7なら数日前にyum update ca-certificates

[rti7743]

昨日の夜からこのエラーに巻き込まれて大変だった。とりあえず curl -k で逃げました。証明書の意味ないじゃーんだけど動かないよりましだし。こういう時限爆弾は怖い。

[momizikeiko]

認証関係ってどうやって全体俯瞰したコントロールしているのかよく分からんのね

[small_tree]

数日前なんかアップデートがあったから適用したけどこういうことだったのか https://ubuntu.com/security/notices/USN-5089-1

[wushi]

うっざ

[l__LINE__l]

今日ボコられました

[mar33]

気のせいでなければyumのリポジトリも一部SSL期限切れエラーになっててちょっとホラーだった

[iwanofsky]

歴史は繰り返される予感しかない

[odakaho]

“間接的な失効が直接的な信頼に勝る”

[kanehama]

まだ遭遇してない

[toro-chan]

相互認証証明書のバリデーションなんて、実装すること自体面倒なだけ。と思うのは分からないでもない。バグと言われるとバグかもしれないが、無料でやれって言われたらどうかな。。

[zu2]

やられたぜ