Uncategorized | あんなことや、こんなこと

今回コンサート・イベントの入場に関してお手伝いしたのでその時に気づいた事をしたためておく

【必要なこと】

偽造されにくい
簡単にわかる
転売ヤー排除
本人性確認
専用アプリの精度
QRコードはタブレットだとあ艦これ
来場年齢に合わせた柔軟な認証システム
鯖側対処
イレギュラーフォロー体制

【分かった事として】

スマホ率9割(平均年齢25-6歳
iPhone率が異常に高い
ガラケー使用率は1割弱くらい
鯖のコネクション数の増強とkeepaliveは短く（10秒くらい？
ガラケーQRより紙出力の方が多い
専用アプリやQRで認証通過が約95%
イレギュラーは極僅かだが発生する（電池切れ、アプリ動作不具合、当日にケータイ故障など5%程度）
iPadでのQRコードはデカすぎてQRコードリーダーで読めずｗｗｗ
なぜか iPhone5C が妙に多かった（年齢層に関係？）
スマホ2台持ちも多数見受ける

昨日FireFox で何処かにアクセスしたら失効と導入が行われたけどこれが原因か！
＃ルート証明書(R1)が切れたのか・・・・・・・
でも GS には何の注意喚起も書かれて無くサラッと新しいのを掲載してオシマイってこと？

CentOS 5 のルート証明書を見る限りでは
/etc/pki/tls/certs/ca-bundle.crt

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            02:00:00:00:00:00:d6:78:b7:94:05
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
        Validity
            Not Before: Sep  1 12:00:00 1998 GMT
            Not After : Jan 28 12:00:00 2014 GMT
        Subject: C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
}

となっていて完全に切れてますね。

この状態で GeoTrust に curl や wget するとこんな感じになる。

wget https://jp.globalsign.com/
--2014-01-30 00:48:19--  https://jp.globalsign.com/
jp.globalsign.com をDNSに問いあわせています... 211.11.149.146
jp.globalsign.com|211.11.149.146|:443 に接続しています... 接続しました。
エラー: jp.globalsign.com の証明書(発行者: /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Extended Validation CA - G2)の検証に失敗しました:
  発行された証明書は失効しています。
jp.globalsign.com に安全の確認をしないで接続するには、`--no-check-certificate' を使ってください。
SSL による接続が確立できません。

ふはははは！やっぱりねｗ

もろにこれの煽りを食らって午後一から大わらわだったがサービス提供側がCA局を変更してくれたらしくAM中にサービス復帰してくれたらしい。
古いOSでサービスしているところはモロに影響がでるので ca-bundle.crt を書き換えちゃうのが得策ですかね。

書き換え方(かなり無茶なやり方(；・∀・))

GlobalSign リポジトリから ルート証明書(R1)を Getしてくる。

wget --no-check-certificate "https://jp.globalsign.com/repository/common/cer/rootcacert_r1.cer"

cat rootcacert_r1.cer して内容をクライアントのコピペバッファにコピーする

cat rootcacert_r1.cer
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv
b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw05ODA5MDExMjAw
MDBaFw0yODAxMjgxMjAwMDBaMFcxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
xy0Sy6scTHAHoT0KMM0VjU/43dSMUBUc71DuxC73/OlS8pF94G3VNTCOXkNz8kHp
1Wrjsok6Vjk4bwY8iGlbKk3Fp1S4bInMm/k8yuX9ifUSPJJ4ltbcdG6TRGHRjcdG
snUOhugZitVtbNV4FpWi6cgKOOvyJBNPc1STE4U6G7weNLWLBYy5d4ux2x8gkasJ
U26Qzns3dLlwR5EiUWMWea6xrkEmCMgZK9FGqkjWZCrXgzT/LCrBbBlDSgeF59N8
9iFo7+ryUp9/k5DPAgMBAAGjQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMBAf8E
BTADAQH/MB0GA1UdDgQWBBRge2YaRQ2XyolQL30EzTSo//z9SzANBgkqhkiG9w0B
AQUFAAOCAQEA1nPnfE920I2/7LqivjTFKDK1fPxsnCwrvQmeU79rXqoRSLblCKOz
yj1hTdNGCbM+w6DjY1Ub8rrvrTnhQ7k4o+YviiY776BQVvnGCv04zcQLcFGUl5gE
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
AbEVtQwdpf5pLGkkeB6zpxxxYu7KyJesF12KwvhHhm4qxFYxldBniYUr+WymXUad
DKqC5JlR3XC321Y9YeRq4VzW9v493kHMB65jUr9TU/Qr6cf9tveCX4XSQRjbgbME
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----

vi /etc/pki/tls/certs/ca-bundle.crt でファイルを開く

	<li> vi /etc/pki/tls/certs/ca-bundle.crt

1336行目に移動してコピペ内容を挿入

動作確認

wget "https://jp.globalsign.com/repository/common/cer/rootcacert_r1.cer"
--2014-01-30 01:31:28--  https://jp.globalsign.com/repository/common/cer/rootcacert_r1.cer
jp.globalsign.com をDNSに問いあわせています... 211.11.149.146
jp.globalsign.com|211.11.149.146|:443 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 1282 (1.3K) [application/pkix-cert]
`rootcacert_r1.cer.2' に保存中
100%[======================================>] 1,282       --.-K/s 時間 0s
2014-01-30 01:31:29 (12.9 MB/s) - `rootcacert_r1.cer.2' へ保存完了 [1282/1282]

あんなことや、こんなこと

色々気になる事をやってみた

カテゴリー別アーカイブ: Uncategorized

入場システムの検討

GlobalSign のルート証明書の件について