【悲報】2chの認証SSLサイト2016/1/29に導入した証明書の一部が信頼できないことが判明
フォロワーさんからのつぶやき
| Jane Styleが昨日からWin2000で2chサーバーにだけ繋がらなくなってるんだけど、うちだけ?つかOS関係ない?なんかJimの騒動からボロボロだな2ch。ちなみにブラウザからは繋がります http://twitter.com/SaladOil/status/693759363396186112 XPだけどJaneStyle掲示板に同じ悩みの人が居るな。改善された人とダメな人が居るみたいだけどうちも試してみるか。 おうふ、上手く勝ち組になれたみたいだけど、これってWin2000だと上手く表示できなくなるサイトあるんじゃないかな、かな |
という訳で調べてみた。
とりあえず Jane Style を Windows 2000に突っ込んで確認
| trying to get sid... ログイン失敗 WinHttpSendRequest (Code:12175) (0) WinHttpSendRequest (Code:12175) (Code:0) done |
これは、あれだね。
2chを乗っ取った人たちが有料化して金もうけに走った時作った例の認証 API でこけてる・ω・
というわけで、 IE6で、https://api.2ch.net/ につないでみる
OK。証明書に問題があるそうだ
この証明書の発行者が、 UTN - DATACorp SGC になってるんだが…
MozillaZine.jp ≫ Blog Archive ≫ Firefox for Android 44 がリリースされた
| サイト証明書の検証時に、Equifax Secure Certificate Authority の 1024 ビットルート証明書、および UTN – DATACorp SGC を信頼できる 証明書 としなくなった |
Firefox 44でも信頼できない証明書となったやつだね。
もちろん Windows向けのルート証明書でも、外されたやつでふ。
どうしても回避したい場合は、
5332D1B3CF7FFAE0F1A05D854E92D29E451DB44F.cer をダウンロードしてインストールする
あんまりお勧めはしない。
だって、信頼できないルート証明書なんだよ?
ちなみに、Windows 7以降では問題ないはず
なんでかというと、こうなってるから
| Supported versions: TLSv1.0 TLSv1.1 TLSv1.2 Deflate compression: no Supported cipher suites (ORDER IS NOT SIGNIFICANT): TLSv1.0 RSA_WITH_3DES_EDE_CBC_SHA RSA_WITH_AES_128_CBC_SHA RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (TLSv1.1: idem) TLSv1.2 RSA_WITH_3DES_EDE_CBC_SHA RSA_WITH_AES_128_CBC_SHA RSA_WITH_AES_256_CBC_SHA RSA_WITH_AES_128_CBC_SHA256 RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ---------------------- Server certificate(s): b87c24c4cb46c264b841fe1b507037ff616c0077: CN=ssl366614.cloudflaressl.com, OU=L egacy Multi-Domain SSL, OU=Domain Control Validated ---------------------- Minimal encryption strength: strong encryption (96-bit or more) Achievable encryption strength: strong encryption (96-bit or more) BEAST status: vulnerable CRIME status: protected |
SHA384向けの証明書になっていて、発行者が COMODO RSA Certification Authority になってるから
こんな感じ。
なんで、 週末突然こうなったかというと…。
レガシー向けのセキュリティ証明書が 2016/1/29から有効だから。日本時間で1/30かな?
馬鹿っすね ・ω・
#JaneStyle に限らず、拝金 API 使う、新世代の2ちゃんねるブラウザ全部に影響します
Translate
件のサーバは他の2chのサーバと同じくcloudflareのIPアドレス、
最後の画像にも「cloudflaressl.com」と書いてあるんで、
悪いのはcloudflareなんだなと安易に思ってましたが…
所詮は素人の愚考に過ぎませんでしたか。
cloudflareさんごめんなさい、悪いのはWindows2000で検証しない2chの方でした、はい。
ここ数日、なぜか2ch.netだけが見れなくなったので、黒猫さんとこのルート認証を落とし、古いものから適用させていったらErrorは回避されました。
コントロールパネルから認証の一覧を見ると、期限切れのものもあるので「どうしたもんか」とは思ってはいるんですが・・・。
はてさて。
恐らく近いうちに Windows Vista などにもこのルート証明書の更新が適用されるので、
影響範囲が拡大するのではないかと思っています。
証明書の有効期限が切れた発行者で別の証明書の署名してしまった
COMODO が悪いか、それをアナウンスしてるのに、コストかかるのが面倒だから変えていない
2ch の運営者が悪いってのが結論だと思います。
CloudFlareのSSL証明書の問題ですねえ。
気づいたからにはCloudFlareのサポートに連絡してあげましょう。
おたくのCDNのSSLがWindows2000で使えないと
2chが証明書とったらどうなるのかはbe.2ch.net見てみればわかりますw
あんなの金もうけのための、飾りです!偉い人にはそれが分からんのです!
(2013年に情報漏えい引き起こした事件を思い出しながら)
悪いのはCloudFlareのSSLですよ
554 †Mango Mangue ⭐ sage 2016/02/01(月) 21:43:43.69
>> 553
アホすぎて何も言えねえ
BBR-MD5:CoPiPe-faca11371a459bd1a292ebce39f8affa(NEW)
BBS_COPIPE=Lv:0
PID: 71774
[0.042591 sec.]
This is Original
opensslがアップデートされてますね。
XP SP3 IE8
この Web サイトのセキュリティ証明書には問題があります。
https://api.2ch.net/
また同じ状態に・・・・