CentOS6 の DST Root CA X3 の証明書期限切れに暫定対応してみた

ssl

centos6

letsencrypt

CentOS 6 のまま動いていたサーバが DST Root CA X3 の期限切れ問題^*1^*2に巻き込まれてうまく動作しなくなってしまったので対応方法をメモ。

もちろん根本的な問題として OS の入れ替えをしなければならないことは認識しています。
その上で、今回は以下のモンキーパッチによりそれまでの時間稼ぎが目的です。

同じ問題は「RHEL/CentOS 6 OpenSSL client compatibility after DST Root CA X3 expiration」で議論されており、そこで回避策として提案されていた以下のコマンドを使うことで、問題が回避されることを確認しました。

perl -e 'while(<>){last if $_ =~ m/DST Root CA X3/;}print $_;while(<>){last if length($_)==1;print $_}' </etc/pki/tls/certs/ca-bundle.crt > /etc/pki/ca-trust/source/blacklist/DST_Root_CA_X3.pem
update-ca-trust enable
update-ca-trust extract

普段ログインしないサーバなので盲点でした。
すみやかにサーバのバージョンアップを検討しようと思います。

^*1: Let's Encryptルート証明書が予定通り期限切れ、Android端末は特に注意 | TECH+

^*2: Old Let’s Encrypt Root Certificate Expiration and OpenSSL 1.0.2 - OpenSSL Blog

by hsur at 21:32 [5年前][4年前][3年前][2年前][1年前][1年後] |

こんな記事もあります「RHEL blacklist print」

・WSL2 上に Docer 環境を作ってみる
・Computer History Museum で PostScript の初期コードが公開される
・gcc で配列の境界外アクセスをチェックする
・firewalld を使って Docer で公開したポートをアクセス制限
・firewalld + ipset で IP ブラックリスト（＋ホワイトリストも）設定（改）
・RHEL 9 が間もなく登場
・ブラウザで動く Python は PyScript
・growpart を使って CentOS のパーティションを拡張する
・戸田市がエアコンのサブスクを導入？
・Core Utilities 9.1 がリリースに

トラックバックについて

Trackback URL:

お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]

このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/12782

Trackbacks

このエントリにトラックバックはありません

Comments

愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。

コメントはありません

Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

« Apple が Android のサイドローディングの問題を指摘 :: ドットライナーに強力タイプが登場 »

サイト内検索

検索ワードランキング

へぇが多いエントリ

閲覧数が多いエントリ

1 . Thunderbird のメッセージをスレッド化しないようにする(7284)
2 . Word で数式がグレーアウトされていて挿入できないときは(7116)
3 . Windows 10 で勝手にログアウトされないようにする(5354)
4 . Firefox でパスワードが保存されるページとされないページの違い(4035)
5 . awk で指定した n カラム目以降を出力する(3615)

cles::blog

CentOS6 の DST Root CA X3 の証明書期限切れに暫定対応してみた