BLOGTIMES
2021/10/15

CentOS6 の DST Root CA X3 の証明書期限切れに暫定対応してみた

  ssl  centos6  letsencrypt 
このエントリーをはてなブックマークに追加

CentOS 6 のまま動いていたサーバが DST Root CA X3 の期限切れ問題*1*2に巻き込まれてうまく動作しなくなってしまったので対応方法をメモ。

もちろん根本的な問題として OS の入れ替えをしなければならないことは認識しています
その上で、今回は以下のモンキーパッチによりそれまでの時間稼ぎが目的です。

同じ問題は「RHEL/CentOS 6 OpenSSL client compatibility after DST Root CA X3 expiration」で議論されており、そこで回避策として提案されていた以下のコマンドを使うことで、問題が回避されることを確認しました。

perl -e 'while(<>){last if $_ =~ m/DST Root CA X3/;}print $_;while(<>){last if length($_)==1;print $_}' </etc/pki/tls/certs/ca-bundle.crt > /etc/pki/ca-trust/source/blacklist/DST_Root_CA_X3.pem update-ca-trust enable update-ca-trust extract

普段ログインしないサーバなので盲点でした。
すみやかにサーバのバージョンアップを検討しようと思います。


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/12782
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン