アカウント名:
パスワード:
すぐ解消しそうな雰囲気の文面出してきたけれど、あっちこっちのキャッシュに残ってくれて、一週間ほど影響されまくりでたまらんかったですよ。
こんな続報あとから出してきたけれどね。
10月13日に発生した証明書エラーについてのご報告(続報)https://jp.globalsign.com/info/detail.php?no=1476856760 [globalsign.com]
この図はわかりやすいな。
ところで、普通はルート証明書とクロスルート証明書でサブジェクト名も暗号化キーも同じとすることはしない(よって厳密には正しくはないが、OCSPレスポンダはそれを想定しない実装を使用していた)って認識でおk?
いいえ。subjectDNと鍵が一致していないと証明書のチェーンがつながらないのでクロスルート証明書として機能しません。ただ、これらが同一であっても有効期間やシリアル番号などは異なるので区別することは可能。今回の障害は、失効させるべき証明書を指定する際にこれらのパラメータ指定に不備があったんでしょう。
ということは、あたかもレスポンダの実装に不備があるかのような説明をしているグローバルサインは大変不誠実ですね。
「くれ無くて」
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
もうね、説明しても何の障害か理解してくれ無くて、中の人が大変だった (スコア:1)
すぐ解消しそうな雰囲気の文面出してきたけれど、
あっちこっちのキャッシュに残ってくれて、一週間ほど影響されまくりでたまらんかったですよ。
こんな続報あとから出してきたけれどね。
10月13日に発生した証明書エラーについてのご報告(続報)
https://jp.globalsign.com/info/detail.php?no=1476856760 [globalsign.com]
Re: (スコア:0)
この図はわかりやすいな。
ところで、
普通はルート証明書とクロスルート証明書でサブジェクト名も暗号化キーも同じとすることはしない(よって厳密には正しくはないが、OCSPレスポンダはそれを想定しない実装を使用していた)って認識でおk?
Re:もうね、説明しても何の障害か理解してくれ無くて、中の人が大変だった (スコア:1)
いいえ。
subjectDNと鍵が一致していないと証明書のチェーンがつながらないのでクロスルート証明書として機能しません。
ただ、これらが同一であっても有効期間やシリアル番号などは異なるので区別することは可能。
今回の障害は、失効させるべき証明書を指定する際にこれらのパラメータ指定に不備があったんでしょう。
Re: (スコア:0)
ということは、あたかもレスポンダの実装に不備があるかのような説明をしているグローバルサインは大変不誠実ですね。
Re: (スコア:0)
「くれ無くて」