お客様各位
いつもRisuPuをご利用いただきまして誠にありがとうございます。
2022年11月11日(金)~ 2022年11月13日(日)の間に
発生しましたSSLサーバ証明書を起因としたアクセス障害について
弊組織グループより詳細をご案内いたします。
対象は障害・メンテナンスにても記載しておりましたが、
IPv4経由でアクセスいただいた方が対象でございます。
簡潔に原因を記載いたしますが別サーバーと混在させていたことにより
SSLサーバ証明書発行(更新)に伴う検証失敗継続となっていたことが
主な要因でございました。
ご利用のお客様には大変ご不便をおかけ致しましたことを深くお詫び申しあげます。
詳細の原因と原因発覚の経緯、及び対応内容を下記ご案内いたします。
その前に前提条件を注記します。
以下、IPv4サーバーはConoHa WING様の収容ホストになり、
IPv6サーバーはコアサーバー(v2)様の収容ホストとなります。
SSLサーバー証明書更新に際しまして詳細の原因からお知らせします。
ConoHa(GMOインターネットグループ株式会社)様側の認証後
にLet's Encrypt側でもweb領域へテキストファイルが設置され、
整合性とWeb領域のテキストファイルで認証が完了してから
SSLサーバ証明書が発行されるものとなります。
しかしながら、弊組織グループにおいてはIPv6への対応を強化しており
弊組織グループのwebサイトにおきまして他社サーバーを利用することで
IPv6への対応、及び負荷分散を実施しておりましたが本サーバー混在が
起因となり、Let's Encrypt側の認証に失敗が継続し更新が断続的に
行われず、本件障害が発生いたしました。
※本来であれば更新失敗の場合、メールにて通知されることが
基本でございますが、問い合わせたところシステム不整合が
発生し、正常に配信されていなかった旨の報告を受けました。
次に原因発覚の経緯をお知らせいたします。
2022年11月12日(土)に弊組織グループのエンジニアが障害を関知し
障害メンテナンス情報へ掲載いたしました。 (当時原因不明)
掲載後、調査を継続して実施してまいりましたが
弊組織では原因を特定することに至れない可能性を
懸念しホスティング事業者さまへ確認を行っておりました。
(時系列の情報は、上記掲載先へ追記形式でご案内しています。)
2022年11月13日(日)、ログを精査したところ、
Let's EncryptからのWeb認証サーバーのアクセスが
IPv4サーバーではなくIPv6サーバー宛となっており
/.well-known/acme-challenge/ 下につきましては
他サーバー間でファイル同期が行われず、
認証局からのアクセスにて404 Not Found
がレスポンスされたことにより所有権認証に失敗し
SSLサーバ証明書更新が実施されなかったものが要因と
特定しConoHa(お客様センター)さまへも確認したところ
すでに発行されており詳細原因の案内は難しいと共に上記が
原因の一つである可能性がとの見解をいただいております。
次に対応内容、および再発防止策につきましてお知らせいたします。
対応内容としてはDNSレコードをConoHa様の指定値のみにし
SSLサーバ証明書発行が22時頃に完了したことを確認しました
DNSレコードの復元は2022年11月16日実施済みです。
※メンテナンス情報
再発防止対策につきましては更新時期にDNSレコードを
1つのサーバーのみとし更新されたことを確認次第、
DNSレコードを平常時のものにする、若しくは
ファイル認証の同期実施やwebサーバー構成の
見直しを視野に検討を進めています。
上記再発防止策については現時点の情報となり
仮としての対策は前者を予定しております。
弊組織グループはIPv6の普及化の活動として
上記運用を行っております。引き続き普及活動を
継続しながら、インフラの安定強化に努めてまいります。
今後ともRisuPuをよろしくお願いいたします。