現象
- ”ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY”というエラーが発生し本番環境でアクセス障害発生
- 現象としては主にAndoroidOSでコンテンツにアクセスすると上記出力
- すべてのユーザではなく一部のユーザに発生
- サービス自体は不具合なく提供できている状態
原因
- 現時点で原因と考えられることがクラウドプロバイダ側のロードバランサーとSSL証明書の相性が悪かったと推測。断定できていない
- 使用していたSSL証明書は信頼性の高いJPRS発行のDV証明書
- 以前はRapidSSLのDV証明書を使用していた
- この事故が発生した数日前に証明書期限切れの為RapidSSLのものからJPRSのものに変更
- おそらくこの変更が原因だったと推測
- プラットフォーム側に確認したところHTTP2との相性が悪いのではとの推測
- AWSなどの場合ACMのCertificateだった場合、こういった現象が起こる可能性は低いと推測
- SSL検証サイトでSSLのレベルを測定
- 多くのブラウザでHTTP2が非対応との結果
- Webサーバー側の暗号化アルゴリズムが何を使用しているかでも類似の現象が発生する可能性がある リンク
HTTP2について
- HTTP2はTLS(SSL)は必須ではないが、chromeやFireFoxなどのブラウザでは必須である為、実質TLS1.2以上が必須である
cipher-suiteはTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256が必須
現在推奨となっているcipher-suiteも将来的に非推奨になるかもしれない。そう考えると気軽に使えない。
HTTPヘッダにも制限があるらしい。大文字がHTTPヘッダになるとエラーになるらしい。
対応
- クラウドのロードバランサーからHTTP2の設定を外してもらう
- エラーは出なくなる
- SSL検証サイトでHTTP2非対応エラーを確認。ほとんど出なくなっている。
結論
- HTTP2を使用している場合、SSL証明書の種類とブラウザによって同様の現象が発生する可能性がある
※他詳細分かり次第随時追記