サーバの証明書、ちゃんと確認してる?

技術コラム

  • ツイート
  • このエントリーをはてなブックマークに追加

サーバ証明書の監視、ちゃんとしてる?

おはようございます、まきしんです。
一人でブログ更新していますまきしんです。

そろそろ他の人にも書いてもらいたいところですが、みんなシャイなのかな?

さて、つい最近のお話ですが、某携帯電話回線提供会社が大規模な通信障害を引き起こしました。
原因はインフラで導入していたエリクソン製の交換器のソフトウェアトラブルのようです。

この問題は、交換器のソフトウェアをアップロードする際、アップロードソフトウェアを配信するためのサーバ上で、サーバ証明書の有効期限が切れたことが原因とのことでした。

サーバ証明書とは

Webサイトを閲覧したり、httpプロトコルでのデータ通信を行う際に、通信するデータを暗号化することでセキュアな通信を行うために必要なものです。
詳しいことは下記、Symantecさんのサイトに詳しく記載がありました。

SSL/TLSサーバ証明書とは / Symantec

 

最近ではGoogleChromeでは、セキュアな通信を行っていない場合に「保護されていない通信」なんていう、なかなか恐怖を煽るような文言を出すようになってしまっています。

https:// とか http:// とかってURLのアタマに書いているやつですね

 

  • セキュアな通信ができている場合

  • セキュアな通信ができていない場合

 

で、セキュアな通信を行う際にはhttpsというプロトコルで通信を行うわけなのですが、通信を行う際に「このサイトは正しいサイトで、偽物のサイトじゃないですよ!!」というのを認証機関が承認しているってことを証明するためのものです。

認証機関に承認されるとサーバに対して証明書が発行されるわけですが、この証明書には有効期間が定められています。

この証明書を更新せずにほっといて、有効期限がすぎたらどうなるか、、、

 

どーん!!!

ひぇぇぇぇぇー

すっごく危ないサイトに見えますね!!!

 

今回の某通信会社の使用機材も、アップデートする時に、アップデートソフトウェアをおいているサイトがこんな状況になっていたんでしょうね。
で、通信がうまくできず中途半端にアップデートが走って阿鼻叫喚。

 

珍しい話ではない?

こんな話、当然あってはならないことです。
しかしながら、珍しい話でもないのかも、、、

恥ずかしながら弊社でも同様の問題を起こしてしまったことがあります。

その際はお客様や自社の営業の方に迷惑をかけてしまい、、、あぁぁ〜、、、、

 

基本的に証明書はサーバ内で、定期的に自動更新するようにバッチスクリプトを動かしているんですが、これがたまにコケてたりすんですよね、、、

で、同じ問題を起こさないためにこんな対策を行っています。
(これから対策入れようと思っていることも含める)

  • Slackに証明書の更新できたかを通知
  • 社内共有カレンダーに証明書の更新時期を記載してみんなで目視監視!!
  • 期限切れ発生した瞬間にアラート通知

 

アラート通知の仕組み

最悪の場合、最後の壁として用意しているアラート通知
弊社ではZabbixを活用して、全てのサーバを監視しています。

証明書関係では、https通信に対してサーバの死活監視を30秒ごとに実施
証明書がきれてhttpsでの通信ができなくなった瞬間にアラートが鳴り響きます。

 

死活監視状況の図

 

 

サーバの監視はしっかりと

証明書の有効期限のみならず、大事なお客様のデータを預かっているサーバたち
Zabbixふくめ、様々なツールを活用してしっかりと守っています。

 

 

製品についてのお問い合わせ
資料ダウンロード