#前置き
巷を騒がせている(?)SymantecのChrome無効化問題ですが、つい最近思わぬ余波を受けました。
そのときに起きためんどくさかった事をメモします。
シマンテック社SSLに関するChromeでの無効化について
#Symantec無効化を受けて焦る(2017年9月頃?)
AWSのサービスはだいたいCertificate Managerの証明書を使っているのですが、オンプレで運用しているものはSSLストアのRapidSSLを活用してたりします。
なんてったってファイル認証タイプは1620円!お安い!
※FujiSSLも安いのですがあまり使った事ないので手を出せず…
そこにSymantecのChrome無効化問題発生!Σ( ̄□ ̄)
RapidSSLは無効化対象の証明書…
どうしよう…
困っていたところ、SSLストア内で下記の記述を発見!
シマンテックCAは2017年12月1日までにDigiCertのシステムに移管される予定ですが、移行が済んでからは旧シマンテックCAから発行された証明書はChromeでは信頼されないものとして扱われます。具体的にはChromeでは該当ページに警告やエラーが表示されることになります。
つまり…?
2017年12月1日以降に購入すれば、Chromeでも無効化されないじゃん!天才!
幸い2017年12月以前に期限が切れる証明書無かったので、アクティベートはおいおいするとして購入は12月1日にまとめてする事にしました。
#ちょっと不安になったのでSSLストアに確認(2017年11月末ごろ)
そもそも、誰にも確認してないし、実は12月1日に購入してもダメだったらどうしよう…
という突然の不安に駆られました。(もっと早く気付け)
とりあえず聞くだけタダだしSSLストアに問い合わせじゃー!
結果、12月1日以降に購入したRapidSSLはChromeの無効化対象ではないという認識で間違いないとの事。
ふぅ、よかったよかった( ̄∀ ̄;)
#衝撃の12月1日
よっしゃー、RapidSSL買ったるどー、買いまくったるどー
( ゚д゚) ・・・
(つд⊂)ゴシゴシ
(;゚д゚) ・・・
(つд⊂)ゴシゴシゴシ
(;゚ Д゚) …!?
嘘…だろ…?
#その後
せめて告知出してくれよ…orz
この記事書いてる12月5日現在もSSLストアのサイトトップにはRapidSSL1620円の表示出てるし…Twitterは今年1回しかつぶやいてないし…絶対告知無しだよ…
そもそも11月末にRapidSSLに問い合わせたときに教えてくれよ…orz
まさか取扱中止するなんて思ってないから、12月1日以降も取り扱っていますか?なんて聞かないから察してくれよ…orz
と嘆いていても仕方ないので、メール認証タイプで購入する事にしました。
###めんどくさかった事その1.社内の承認取り直し
お値段が1620円から2980円へ大幅アップ…
関係各所へ事情を説明
違うんです、急に取扱中止になったんです、私悪クナイ私被害者アル
そしていったんあげた申請のやり直し…
年末でバタバタしてる時期なので権限持ってる人がなかなか捕まらないというおまけつきorz
###めんどくさかった事その2.認証用のメールが受信出来ないメアドに設定されている
ファイル認証タイプだと、認証用ファイルを管理画面からダウンロードして対象のFQDNが設定されているサーバのドキュメントルートへ配置するだけだったのですが…
その名の通りメール認証なので、メールでの認証を行わなければならず…
その認証用のメールが届くメールアドレスは、
admin@(ドメイン or 対象のFQDN)
administrator@(ドメイン or 対象のFQDN)
hostmaster@(ドメイン or 対象のFQDN)
webmaster@(ドメイン or 対象のFQDN)
postmaster@(ドメイン or 対象のFQDN)
のいずれか、もしくは
Whois情報 担当メールアドレス
との事。
メールの設定をしていないドメインなので、後者を選択するわけですが…
なんと古から受け継がれし受信出来ないメアドが設定されているではありませんか。
ドメインレジストラは分かりにくさに定評のあるお名前.comなので、早速Whoisの情報を変更しにGo!Go!
どれどれ、登録者名義変更と…
メール認証送付先…Σ( ̄□ ̄)
また認証かい!
選択肢は下記2つ
・新しい登録者・現在の登録者による認証
・新しい登録者・現在の管理者による認証
まぁ下一択ですな(´_ゝ`)
当然管理担当者情報も古い情報になっているので、そちらの変更も必要に。
幸いこちらは認証無しで、新しいメアドに通知がくるだけだったのでスムーズに変更出来ました。
そして改めて登録者名義を変更。
この時、新しい登録者のメアドと、現在の管理者のメアドにそれぞれ認証メールが飛んでくるので、それぞれを承認。
ふぅ…SSL証明書のメール認証するためにドメイン登録情報の変更のメール認証までするなんて…わけがわからなくなりそう
そしてそして、変更したWhoisの情報がSSLストアに反映されるのに時間を要し、私のヘイトは臨界点を突破したのでした。
#おわりに
とりあえず
SSLストアひどいよぉ( ノД`)ウエェェン
と言いたい
まぁ一番ひどいのはSymantecなんですけどね