本文へジャンプ

重要セキュリティー情報 > 
Verisignの中間/ルート証明書期限切れにより、2004/1/8以降Webアプリケーションが利用できなくなる問題について

概要

公開日: 2004年3月26日

2004年1月8日にVeriSignからの中間証明書またはルート証明書の期限が切れたことによりSSL通信が行えなくなる現象です。

現象

証明書の期限が切れた後、SSL通信を用いたWebアプリケーションのアクセスが出来なくなり、サービスが停止します。


対象製品
  • WebSphere Application Server V3.5 - 5.1
  • IHS1.3.12,IHS1.3.19,IHS1.3.26,IHS2.0
  • WebSphere Edge Server V2.x.xのCaching Proxy V4.x.x.x
  • WebSphere Application Server V5.0 Edge ComponentsのCaching Proxy V5.x.x.x
  • Tivoli Access Manager for e-business(Policy Director) - TAM(PD)
および上記製品を同梱した製品

確認方法

IBM HTTP Server(IHS)で用いられている証明書の期限の確認方法

IHSでは、鍵の管理をIKEYMANというユーティリティーを用いて行います。
IKEYMANを用いた証明書の期限の確認方法は以下の通りです。
  1. IHSの構成ファイル(httpd.conf)からSSL通信に用いられている鍵データベースファイル(kdb)を確認します。
  2. IKEYMANを起動させ、1.で確認したkdbファイルを開きます。
  3. 「署名者証明書」のセクションを開き、「VeriSign Class 3 CA Individual Subscriber-Persona Not Validated」、「Verisign Class 3 Public Primary Certification Authority」の内容を表示します。
  4. 妥当性の日付が有効がどうか確認します。

IBM Web Application Server(WAS)の確認方法

Sun Microsystemsよりアナウンスがありました通り、JDK/JREに含まれるPCA証明書の一部が2004年1月8日に期限切れとなりました。
http://sunsolve.sun.com/search/advsearchcoll.do

WASに含まれているcacertsファイルに関しましても、同様の証明書が含まれており、2004年1月8日に期限切れになりました。WASにおきましても各所でSSLが使用されており、その際にCA/PCAの証明書が使用されています。ですが、WASではIBM独自のSSL実装を用いているため、ほとんどの箇所では問題は発生しません。現在、正確な影響範囲についての調査を行っていますが、今までのところ具体的な問題が発生する条件は発見されておりません。

WASに含まれているcacertsファイルに含まれている証明書の有効期限を確認する方法は以下の通りです。keytoolを使ってキーストアに取り込まれている証明書の有効期限を確認します。
  1. <WAS Root>/java/jre/lib/security/に移動します。
  2. <WAS Root>/java/jre/binにパスを通した状態で、以下のコマンドを順に実行します。赤字の部分が有効期限です。
# keytool -v -list -keystore cacerts -alias verisignclass2ca
Enter keystore password:

***************** WARNING WARNING WARNING *****************
* The integrity of the information stored in your keystore *
* has NOT been verified! In order to verify its integrity, *
* you must provide your keystore password. *
***************** WARNING WARNING WARNING *****************

Alias name: verisignclass2ca
Creation date: Tue Jun 30 02:06:39 JST 1998
Entry type: trustedCertEntry

Owner: OU=Class 2 Public Primary Certification Authority, O="VeriSign, Inc.", C=US
Issuer: OU=Class 2 Public Primary Certification Authority, O="VeriSign, Inc.", C=US
Serial number: ba5ac94c053b92d6a7b6df4ed053920d
Valid from: Mon Jan 29 09:00:00 JST 1996 until: Thu Jan 08 08:59:59 JST 2004
Certificate fingerprints:
MD5: EC:40:7D:2B:76:52:67:05:2C:EA:F2:3A:4F:65:F0:D8
SHA1: A5:EC:73:D4:8C:34:FC:BE:F1:00:5A:EB:85:84:35:24:BB:FA:B7:27

# keytool -v -list -keystore cacerts -alias verisignclass3ca
Enter keystore password:

***************** WARNING WARNING WARNING *****************
* The integrity of the information stored in your keystore *
* has NOT been verified! In order to verify its integrity, *
* you must provide your keystore password. *
***************** WARNING WARNING WARNING *****************

Alias name: verisignclass3ca
Creation date: Tue Jun 30 02:05:51 JST 1998
Entry type: trustedCertEntry

Owner: OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc.", C=US
Issuer: OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc.", C=US
Serial number: e49efdf33ae80ecfa5113e19a4240232
Valid from: Mon Jan 29 09:00:00 JST 1996 until: Thu Jan 08 08:59:59 JST 2004
Certificate fingerprints:
MD5: 78:2A:02:DF:DB:2E:14:D5:A7:5F:0A:DF:B6:8E:9C:5D
SHA1: 4F:65:56:63:36:DB:65:98:58:1D:58:4A:59:6C:87:93:4D:5F:2A:B4

対応方法

IHSで用いられている証明書の更新方法

この問題はVerisign社発行のSSLサーバー証明書を使用して、IBM HTTP ServerとWebブラウザ間の通信を暗号化している場合に適用されます。ルート証明書の期限は中間証明書の期限よりも後である必要があります。そのため中間証明書を更新するときはルート証明書も必ず更新するようにしてください。

IBM HTTP Server 1.3.12に付属するikeymanのベリサイン・ルート証明書(Verisign Class 3 Public Primary Certification Authority)が2004年1月8日に期限切れとなったため、更新作業を行う必要があります。
下記のベリサインのWebサイトからルート証明書をダウンロードして、キー・データベースのルート証明書を更新してください。
https://www.verisign.co.jp/server/cus/rootcert/get2028pca3.html

なおこの問題はIHS1.3.19、IHS1.3.26、及びIHS2.0には該当しません。

また、IBM HTTP Serverに付属するikeymanのベリサイン中間証明書(VeriSign Class 3 CA Individual Subscriber-Persona Not Validated)が2004年1月8日に期限切れとなったため更新作業を行う必要があります。
下記のベリサインのWebサイトから中間証明書をダウンロードして、キー・データベースの中間証明書を更新してください。
https://www.verisign.co.jp/server/help/intermediateCA.html

この問題は現在出荷中の全てのIHS(IHS1.3.12,IHS1.3.19,IHS1.3.26,IHS2.0)に該当します。

cacertファイルの更新方法

以下のサイトから更新されたcacertファイルをダウンロードし、置き換えた結果をkeytoolで確認します。ファイルを置き換える前にはバックアップを取ることをおすすめ致します。
http://www.ibm.com/developerworks/java/jdk/security/(英語)



お問合せ先

PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話 :0120-557-971
受付時間 :月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)


参考情報
IHSのIKEYMANに同梱されている署名者証明書
http://www.ibm.com/jp/domino01/mkt/websphere.nsf/doc/0021B940?OpenDocument#_Section12
JDK/JREのVeriSign Class 3/Class 2 PCA証明書の期限切れについて
http://www.ibm.com/jp/software/websphere/developer/news/20040113.html

上に戻る