CentOS6 の DST Root CA X3 の証明書期限切れに暫定対応してみた

ssl

centos6

letsencrypt

CentOS 6 のまま動いていたサーバが DST Root CA X3 の期限切れ問題^*1^*2に巻き込まれてうまく動作しなくなってしまったので対応方法をメモ。

もちろん根本的な問題として OS の入れ替えをしなければならないことは認識しています。
その上で、今回は以下のモンキーパッチによりそれまでの時間稼ぎが目的です。

同じ問題は「RHEL/CentOS 6 OpenSSL client compatibility after DST Root CA X3 expiration」で議論されており、そこで回避策として提案されていた以下のコマンドを使うことで、問題が回避されることを確認しました。

perl -e 'while(<>){last if $_ =~ m/DST Root CA X3/;}print $_;while(<>){last if length($_)==1;print $_}' </etc/pki/tls/certs/ca-bundle.crt > /etc/pki/ca-trust/source/blacklist/DST_Root_CA_X3.pem
update-ca-trust enable
update-ca-trust extract

普段ログインしないサーバなので盲点でした。
すみやかにサーバのバージョンアップを検討しようと思います。

^*1: Let's Encryptルート証明書が予定通り期限切れ、Android端末は特に注意 | TECH+

^*2: Old Let’s Encrypt Root Certificate Expiration and OpenSSL 1.0.2 - OpenSSL Blog

by hsur at 21:32 [5年前][4年前][3年前][2年前][1年前] |

こんな記事もあります「pki blacklist RHEL」

・AbuseIPDB を使い始めてみた
・Stack Overflow の機械翻訳サイトを uBlacklist で除外する
・CentOS 7 に HTTP/2 対応の httpd を yum で入れる
・中国製のスマホについてリトアニア国防省が警告
・Rocky Linux 8.4 の GA 版がリリースに
・証券システム担当の SE が ID/PW を悪用して 2 億円着服
・特定のサイトを Google の検索結果に表示させないアドオン uBlacklist
・CentOS 8 へのブルートフォースアタックを SSHGuard で防御
・個人は RHEL を無料で使えるように（16 システムまで）
・CentOS の後継は Rocky Linux ？

トラックバックについて

Trackback URL:

お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]

このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/12782

Trackbacks

このエントリにトラックバックはありません

Comments

愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。

コメントはありません

Comments Form

OpenID を使ってログインすることができます。

« Apple が Android のサイドローディングの問題を指摘 :: ドットライナーに強力タイプが登場 »

サイト内検索

検索ワードランキング

へぇが多いエントリ

閲覧数が多いエントリ

1 . Windows 10 で勝手にログアウトされないようにする(39292)
2 . これが本物の「Amazon セキュリティ警告」(34192)
3 . Ryzen は標準で fTPM が使える？(33063)
4 . リモートデスクトップで Alt + PrtSc と同じことをするには(31478)
5 . Visual Studio 2017/2019 で scanf() がエラー（C4996）になるときは(31052)

cles::blog

CentOS6 の DST Root CA X3 の証明書期限切れに暫定対応してみた