パスワードを忘れた? アカウント作成
7624100 story
クラウド

Windows AzureでHTTPS通信が使用できなくなるトラブル。原因は証明書の期限切れ 25

ストーリー by headless
更新 部門より
日本時間の23日早朝から、Windows AzureでHTTPS通信が使用できなくなるトラブルが全世界で発生したそうだ(Windows Azure Service DashboardThe Registerの記事Forbesの記事本家/.)。

トラブルが発生したのは太平洋標準時2月22日12時44分(日本時間翌5時44分)。SSL証明書の期限切れが原因だという。Microsoftでは影響を受けたクラスターのSSL証明書を更新して復旧作業にあたり、サービスは99%まで復旧しているとのことだ。なお、使用できなくなったのはHTTPSのみで、HTTPは影響を受けていない。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年02月24日 11時58分 (#2331547)
    デジャヴュ?
  • by Anonymous Coward on 2013年02月24日 12時30分 (#2331552)

    別のニュースで12時間HTTPSサービス停止って書いてありますが、
    なぜ12時間もかかるの。
    証明書なんて数キロ程度のファイルインポートで終わりじゃないのでしょうか?

    むしろ3,4時間で復旧が普通ではないのでしょうか

    • Re:12時間 (スコア:4, 興味深い)

      by kawasaki_z750s (32690) on 2013年02月24日 13時38分 (#2331569)
      マルウェアの感染で、それどころではなかったのかも…

      http://www.itmedia.co.jp/news/articles/1302/24/news006.html [itmedia.co.jp]
      親コメント
    • ふつうは有効期限切れになる前に修正がかかるはず。

      米Microsoft、Windows AzureがSSL証明書失効で約12時間サービス機能停止に -INTERNET Watch [impress.co.jp]

       この問題についてフォーラムの中では、「Windows Azureでエンタープライズ向けアプリケーションを使用することは適切なのか」などという疑問が提起されるなど、当然ながら多くの不満の声が上がっている。その一方で、Microsoft社内でこの問題に対処している担当者、または責任者が気の毒だ、といった同情の声も上がっている。

       クラウドサービスでは、犯罪者によるサービスの妨害や盗難などのセキュリティ上の問題が取り上げられることは多い。しかし、今回はSSL証明書の期限切れ失効という非常に初歩的なミスによって世界中でクラウドサービスが利用できなくなってしまった。

      「非常に初歩的なミス」、Windows Azure Forums [microsoft.com]でも手厳しい評価を受けてますよw

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
      • 本当になんでやらかしちゃったのかしらねぇ……
        この手の証明書期限トラブルって、期限切れが近くても見た目が変わらないせいなんでしょうか。
        WSUS含め [technet.com] 修正パッチでも期限系でやっちゃってるしなぁ [microsoft.com]
        SSL証明書は「問題が起こってから対応」では遅くて、「問題が起きる前に対応」という特異さがあるからなんでしょうかね。
        良く有りそうなハードウェア障害とかは自動的に切り替わって後からとか、セキュリティパッチは出たら対応といった後手で可能ですしね。

        12時間という時間に関しては、アメリカ4、アジア2、ヨーロッパ2と計8拠点あって台数もそれなりにありそうなので早いか遅いかは解らないかも。

        親コメント
    • なので内部資料上、他社より早く完了しているのです。

    • by Anonymous Coward

      多分、次の2点だろうが、想像に過ぎない。
      (1) 休日は平日より(スキルも含めて)人員が手薄だった
      (2) 影響範囲が大きかったので、サポート部門をパンクさせた
      (3) 台数が多かったので、手順の作成・作業確認に時間が掛かった

      (1) 運用担当が通信が繋がらないことぐらいしか把握できず、
      証明書のエラーにたどり着くまでの情報をサポート部門伝えるのに時間が掛かったとか

      (2)は、影響範囲が大きいので、1時間ごとに報告せよって騒ぐようなお客からの電話で
      サポート部門がパンクして、(1)の情報採取と確認に手間取ったとか。

      (3)は、人員を緊急収集して、しかるべきスキルの人間が手順を策定して、
      大量のサーバに確実に作業を行ったかどうかのエビデンス(証拠)を残しながらの作業と
      考えると、6~8時間ぐらいはかかっても不思議ではない。
      ※想定され、手順が準備されていれば、2~4時間ぐらいだろう。

      残り、4時間分は上記の作業を複数の拠点(国外もある?)で意識あわせしつつやると、
      そのぐらい掛かりそう。

      • 私の想像では (スコア:4, 参考になる)

        by lcc (46023) on 2013年02月24日 15時32分 (#2331586) 日記

        セキュリティ強化のために証明書の検証必須にしたら、
        証明書の期限切れで検証通らず、
        証明書が更新出来なかったでござる

        親コメント
      • by kei100 (5854) on 2013年02月24日 22時43分 (#2331751)

        複数の拠点(国外もある?)

        参考までにAzureは米国内に4拠点、アジアで2拠点、ヨーロッパに2拠点あります。

        米国
        ・バージニア[East US]
        ・シカゴ[North Central US]
        ・サンアントニオ[South Central US]
        ・カリフォルニア[West US]

        アジア
        ・香港[East Asia]
        ・シンガポール[Southeast Asia]

        ヨーロッパ
        ・ダブリン[North Europe]
        ・アムステルダム[West Europe]

        親コメント
      • by Anonymous Coward

        訂正: 2点→3点

        > プログレスバー上では1時間と表示(MS談)
        手順があったとしても、それなら、むしろ早いほうという気がする。

        • Re:12時間 (スコア:2, おもしろおかしい)

          by Anonymous Coward on 2013年02月24日 15時27分 (#2331585)

          原因究明→方針策定→承認(いちばんかかる)→施策

          を12時間ではウチの会社ではむりw

          親コメント
          • by Anonymous Coward on 2013年02月24日 16時58分 (#2331603)

            確かに、うちの会社も、抱えてる顧客も無理ですね。

            親コメント
            • by Anonymous Coward

              12時間でできないところは1年あったってできない(からこそ期限を切らす)よ。

      • by Anonymous Coward

        管理コンソール(https)に繋がらないので、
        雲の中を飛び回る時間が12時間

    • by Anonymous Coward

      証明書が切れていたら更新対象が実際に更新対象であることを確認できないので
      物理的に証明書を運ばなければ安全とは言えないのではないでしょうか?

  • by Anonymous Coward on 2013年02月24日 17時46分 (#2331621)

    ニュースになるのでは?

  • by Anonymous Coward on 2013年02月25日 9時26分 (#2331858)

    証明書の有効期限切れを監視し報告するサービスというのも…既にあったりしないのだろうか?

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...