質問

Alert ID : ALERT2436

【障害のお知らせ】FirefoxにおけるOCSPエラーについて

information

Description

お客様各位

2017年10月26日

【障害報告】FirefoxにおけるOCSPエラーについて
 

平素は弊社のサービスに格別のご高配を賜り、厚くお礼申し上げます。

2017年10月15日に発生いたしました弊社OCSPサーバの障害に関しまして、障害事象の詳細をご報告申し上げます。
 


1. 障害内容


弊社のサーバIDがインストールされた一部のウェブサイトにおいて、Mozilla Firefoxでアクセスした際に以下のエラーによりサイトにアクセスできない障害が発生いたしました。
" Error code: SEC_ERROR_OCSP_INVALID_SIGNING_CERT "

2. 発生期間


JST 日本標準時 2017年10月15日(日) 9:00 - 2017年10月15日(日) 18:30

※ウェブサーバの設定おいてOCSP Staplingを有効にしている場合、一度サーバに渡されたOCSPは一定期間保持されるため、サーバの再起動によりOCSPの再取得するか、または定期的な取得のタイミングで最新のOCSPを取得するまでの間、Mozilla Firefox で対象のサイトにアクセスしたユーザに継続して警告が表示されました。

3. 障害の詳細


詳細は以下の通りです。

  1. Symantecのシステムの問題によりOCSPに署名を行うための証明書が自動更新されず、OCSP の有効期限より短い有効期限を持つ証明書で署名されたOCSPがAkamaiのOCSPサーバに送られました
  2. OCSPサーバは上記の 1 にてOCSP応答を継続しました
  3. Mozilla FirefoxはOCSP証明書の有効性を確認する仕様であるため、OCSP証明書の有効期限が(OCSPより先に)満了を迎えたタイミング(2017年10月15日(日) 9:00 JST)でエラーが発生し始めました
     

4. 障害への対処


SymantecはMozilla Firefoxを利用するユーザを持つお客様からの連絡を受け、事象を確認、原因を特定し、証明書を更新してOCSPに再署名し、Akamaiを通じて配布を開始しました。
ウェブサーバの管理者様により、サーバの再起動、または定期的な取得のタイミングの到来により最新のOCSPをご取得いただくことで事象が解消いたしました。

5. 再発防止策


Symantecにて自動更新が動作しない場合のアラート機能を実装しました。
※従来は更新作業に不具合が生じた場合のみアラートしていました

以上

 


 

お客様各位

2017年10月16日

【障害のお知らせ】FirefoxにおけるOCSPエラーについて
 

平素は弊社のサービスに格別のご高配を賜り、厚くお礼申し上げます。
下記の通り、弊社のOCSPサーバにおいて障害が発生し、一部のお客様に影響が生じておりますことをご報告申し上げます。
 

1.障害内容


詳細な時間帯は現在調査中でございますが、日本時間の 2017年10月16日頃、OCSPサーバの障害により最新の失効情報を提供させていただくことができない時間帯がございました。
現在は正常に動作しておりますが、同障害により、ウェブサーバの設定においてOCSP Staplingを有効にしている場合、正しい情報が利用できず、Firefoxからのアクセス時にエラーとなる事象を確認しております。


 

2.回避策


(1)ウェブサーバを再起動していただくことにより改めてOCSPが取得されるため、事象が解消いたします

(2)OCSP Staplingの定期的なOCSP取得のタイミングで正しいOCSPが取得されますので、事象が解消いたします
 

3.本件に関する問い合わせ先


合同会社シマンテック・ウェブサイトセキュリティ
Email : server_info_jp@symantec.com
電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)

マネージドPKI for SSLをご利用のお客様
Email : mssl_support__jp@symantec.com
電話 : 03-5114-4137(音声ガイダンス後、2番を選択してください)
  (平日9時30分~17時30分)

以上