【悲報】2chの認証SSLサイト2016/1/29に導入した証明書の一部が信頼できないことが判明

フォロワーさんからのつぶやき

Jane Styleが昨日からWin2000で2chサーバーにだけ繋がらなくなってるんだけど、うちだけ?つかOS関係ない?なんかJimの騒動からボロボロだな2ch。ちなみにブラウザからは繋がります
http://twitter.com/SaladOil/status/693759363396186112

XPだけどJaneStyle掲示板に同じ悩みの人が居るな。改善された人とダメな人が居るみたいだけどうちも試してみるか。
http://twitter.com/SaladOil/status/693784111576535040

おうふ、上手く勝ち組になれたみたいだけど、これってWin2000だと上手く表示できなくなるサイトあるんじゃないかな、かな
http://twitter.com/SaladOil/status/693784596995923968

という訳で調べてみた。

とりあえず Jane Style を Windows 2000に突っ込んで確認
jn4

trying to get sid...
ログイン失敗 WinHttpSendRequest (Code:12175) (0)
WinHttpSendRequest (Code:12175) (Code:0)
done

これは、あれだね。
2chを乗っ取った人たちが有料化して金もうけに走った時作った例の認証 API でこけてる・ω・

というわけで、 IE6で、https://api.2ch.net/ につないでみる

jn
OK。証明書に問題があるそうだ

jn2
この証明書の発行者が、 UTN - DATACorp SGC になってるんだが…

MozillaZine.jp ≫ Blog Archive ≫ Firefox for Android 44 がリリースされた

サイト証明書の検証時に、Equifax Secure Certificate Authority の 1024 ビットルート証明書、および UTN – DATACorp SGC を信頼できる 証明書 としなくなった

Firefox 44でも信頼できない証明書となったやつだね。
もちろん Windows向けのルート証明書でも、外されたやつでふ。

どうしても回避したい場合は、
5332D1B3CF7FFAE0F1A05D854E92D29E451DB44F.cer をダウンロードしてインストールする

あんまりお勧めはしない。
だって、信頼できないルート証明書なんだよ?

ちなみに、Windows 7以降では問題ないはず
なんでかというと、こうなってるから

Supported versions:
 TLSv1.0 TLSv1.1 TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
  TLSv1.0
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  (TLSv1.1: idem)
  TLSv1.2
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA256
     RSA_WITH_AES_256_CBC_SHA256
     TLS_RSA_WITH_AES_128_GCM_SHA256
     TLS_RSA_WITH_AES_256_GCM_SHA384
     TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
----------------------
Server certificate(s):
  b87c24c4cb46c264b841fe1b507037ff616c0077: CN=ssl366614.cloudflaressl.com, OU=L
egacy Multi-Domain SSL, OU=Domain Control Validated
----------------------
Minimal encryption strength:     strong encryption (96-bit or more)
Achievable encryption strength:  strong encryption (96-bit or more)
BEAST status: vulnerable
CRIME status: protected

SHA384向けの証明書になっていて、発行者が COMODO RSA Certification Authority になってるから

jn6
こんな感じ。

なんで、 週末突然こうなったかというと…。

jn5
レガシー向けのセキュリティ証明書が 2016/1/29から有効だから。日本時間で1/30かな?

馬鹿っすね ・ω・

#JaneStyle に限らず、拝金 API 使う、新世代の2ちゃんねるブラウザ全部に影響します

おすすめ

10件のフィードバック

  1. 本当に悪いのはどこなの?っと より:

    件のサーバは他の2chのサーバと同じくcloudflareのIPアドレス、
    最後の画像にも「cloudflaressl.com」と書いてあるんで、
    悪いのはcloudflareなんだなと安易に思ってましたが…
    所詮は素人の愚考に過ぎませんでしたか。
    cloudflareさんごめんなさい、悪いのはWindows2000で検証しない2chの方でした、はい。

  2. 名無し より:

    ここ数日、なぜか2ch.netだけが見れなくなったので、黒猫さんとこのルート認証を落とし、古いものから適用させていったらErrorは回避されました。
    コントロールパネルから認証の一覧を見ると、期限切れのものもあるので「どうしたもんか」とは思ってはいるんですが・・・。
    はてさて。

  3. 黒翼猫 より:

    恐らく近いうちに Windows Vista などにもこのルート証明書の更新が適用されるので、
    影響範囲が拡大するのではないかと思っています。
    証明書の有効期限が切れた発行者で別の証明書の署名してしまった
    COMODO が悪いか、それをアナウンスしてるのに、コストかかるのが面倒だから変えていない
    2ch の運営者が悪いってのが結論だと思います。

  4. a より:

    CloudFlareのSSL証明書の問題ですねえ。
    気づいたからにはCloudFlareのサポートに連絡してあげましょう。
    おたくのCDNのSSLがWindows2000で使えないと

  5. a より:

    2chが証明書とったらどうなるのかはbe.2ch.net見てみればわかりますw

  6. 黒翼猫 より:

    あんなの金もうけのための、飾りです!偉い人にはそれが分からんのです!
    (2013年に情報漏えい引き起こした事件を思い出しながら)

  7. マンゴー より:

    悪いのはCloudFlareのSSLですよ
    554 †Mango Mangue ⭐ sage 2016/02/01(月) 21:43:43.69
    >> 553
    アホすぎて何も言えねえ
    BBR-MD5:CoPiPe-faca11371a459bd1a292ebce39f8affa(NEW)
    BBS_COPIPE=Lv:0
    PID: 71774
    [0.042591 sec.]
    This is Original

  8. 名無し より:

    opensslがアップデートされてますね。

  9. このブログに感謝 より:

    XP SP3 IE8
    この Web サイトのセキュリティ証明書には問題があります。
    https://api.2ch.net/

  10. ななし より:

    また同じ状態に・・・・

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です