重要なお知らせ
2016.10.19
10月13日に発生した障害についてのご報告(続報)
お客様各位
平素は、KingSSLをご愛顧いただき誠にありがとうございます。
2016年10月13日16:00頃より、弊社のSSLサーバ証明書が設定されたサイトにアクセスできない状況が発生いたしました。
ご利用のお客様には、多大なるご迷惑をおかけいたしましたことを深くお詫び申し上げます。
今回発生した障害に関する詳細を、以下の通りご報告いたします。
※現在、本事象は解消いたしておりますので、特にご対応いただく必要はございません。
【発生時刻】
2016年10月13日(木)16:00頃 ~ 2016年10月13日(木)20:20頃
【事象】
弊社で使用するroot認証局であるグローバルサインのOCSPサービスによって証明書の失効情報を確認している一部環境において、中間CA証明書が失効された状態であると判断されてしまい、弊社SSL証明書が設定されたサイトにアクセスできない状況になりました。
【影響範囲】
次の条件により、10月13日(木)16:00~20:20の間にOCSPレスポンダが返していた失効情報を受け取った方に事象が発生いたしました。
- 当該時間帯に初めて弊社SSLサーバ証明書が設定されたウェブサイトにアクセスした方
- 当該時間帯に再訪問で弊社SSLサーバ証明書が設定されたウェブサイトにアクセスしたが、5日以上前のアクセス履歴であったためOCSPレスポンスのキャッシュがクリアされていた方
- 当該時間以外に弊社SSLサーバ証明書が設定されたウェブサイトにアクセスしたが、OCSPレスポンスがキャッシュされていたCDN(コンテンツデリバリネットワーク)やプロキシサーバ等より失効情報を受け取った方
【原因】
グローバルサインにて利用停止を予定していたルート証明書(R2)から、お客様がご利用のルート証明書(R1)に発行したクロスルート証明書を停止いたしました。それに伴い、OCSPレスポンダがルート証明書(R1)を失効された状態と認識してしまったことが原因でございます。図の通り、クロスルート証明書がルート証明書(R1)と同じ公開鍵、同じサブジェクトネームを持っており、かつそのクロスルート証明書の発行日がルート証明書(R1)より新しかったことから、OCSPレスポンダが誤認してしまったと考えられます。
【障害の経過】
| 日時 | 時間 | 事象 |
|---|---|---|
| 10月7日 | ルート証明書(R2)を含むすべてのルート証明書のCRLが更新される | |
| 10月13日 | 午後16時00分 | クロスルート証明書のOCSPステータスが更新される |
| 10月13日 | 午後18時20分 | 失効された証明書に関してサポートチームに障害報告書が提出される |
| 10月13日 | 午後19時07分 | R1チェーンの問題であると判断 |
| 10月13日 | 午後20時02分 | 失効されたクロスルート証明書に起因するレスポンダ―の問題であることを確認 |
| 10月13日 | 午後20時20分 | OCSPデータベースからクロスルート証明書のステータスをロールバック |
| 10月13日 | 午後22時30分 | CDNプロバイダと協力しキャッシュを強制的に削除 |
| 10月14日 | 午前2時14分 | CDNキャッシュ削除完了 |
| 10月14日 | 午前4時24分 | インフラ内のキャッシュの削除を開始 |
| 10月14日 | 午前5時19分 | すべてのキャッシュ削除の確認がとれる |
| 10月17日 | 午後20時20分 | OCSPレスポンスのキャッシュがクリアされ当該事象が解消 |
ご利用のお客様には多大なるご迷惑をお掛けいたしまして、誠に申し訳ございません。
ご質問や不明な点などございましたら、お問い合わせフォームよりご連絡ください。
