10月に緊急事態宣言が明けて以来、やたら証明書エラーが出るようになってきた・・と思った人、いますかー?私です。
今の環境ではPROXYとしてCENTOS7でsquidをSSL BUMPさせてウィルススキャンしてるのですが、10月になってから、結構なサイトで「期限切れでーす」エラーが続出。
どうしても見たいものはPROXY OFFにして見てました。
今日で4日目、思いケツを上げて調べます。まずは自分のオレオレ証明書(BUMPに使ってるもの)を疑いました。
https://www.oresamalabo.net/entry/2020/02/29/134353
|
1 2 3 4 |
# openssl x509 -noout -dates -in XXXXX.pem notBefore=Feb 3 07:37:15 2020 GMT notAfter=May 8 07:37:15 2022 GMT |
ん?大丈夫じゃん。。
ググります。なかなかこれっての無いけど、英語サイトで発見。CENTOS7のOpenSSL 1.0.x系で影響を受けますって・・・あー。これね。
https://blog.devgenius.io/rhel-centos-7-fix-for-lets-encrypt-change-8af2de587fe4
RHEL/CentOS 7 Fix for Let’s Encrypt Change
Take action before September 30, 2021 to avoid problems
いや、私の場合前にどころか、後に4日たってますがな・・というツッコミはおいておいて。
グオー。
|
1 2 |
trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem |
からの
|
1 2 |
update-ca-trust extract |
ですね。
|
1 2 |
systemctl restart squid |
直った。良かった。
ちなみにsquidのバージョンはソースからコンパイルした4.9です。
# /usr/local/squid/sbin/squid -v
Squid Cache: Version 4.9
Service Name: squid
です。
OPENSSLの方は、
openssl version
OpenSSL 1.0.2k-fips 26 Jan 2017
いつもありがたい、対処情報を提示してくれる皆様、感謝です。
のど元過ぎる前に、もう一度SSL/TLSの仕組みを復習しておくかな💦
読み応えたっぷりの520ページ。秋の夜長にどうでしょう。
プロフェッショナルSSL/TLS 単行本(ソフトカバー) – 2018/6/4