ニュースソース:curl
以下の文章は、2017年2月22日に公開されたSSL_VERIFYSTATUS ignoredを要約したものです。
※OCSP(Online Certificate Status Protocol) Staplingについて詳しくは以下を参照してください。
証明書の失効:CRL(Certificate Revocation Lists) とOCSP
証明書の失効:CRL(Certificate Revocation Lists) とOCSP
脆弱性
curlとlibcurlは、TLS Certificate Status Request拡張機能(CURLOPT_SSL_VERIFYSTATUSオプション)とも呼ばれるSSLサーバ証明書の失効を素早く検証する “OCSP(Online Certificate Status Protocol) Stapling”をサポートしています。
curlはこの機能を使用するように設定されていると、サーバーがこの機能をサポートしていない場合、あるいは検証に失敗した場合に、エラーを返すように設計されています。
しかし、コードの誤りにより、証明書が失効していることを感知できなかったり、サーバーの状態が実際よりも優れた状態にあると誤認したりする場合があることが確認されました。
影響を受けるバージョン
- 7.52.0
- 7.52.1
対策
- 7.53.0の利用
- パッチCVE-2017-2629の適用