ウェブサイトにアクセスしたとき、“このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません”と警告が出ていたら、そのサイトから離れてしまった経験を持つ人は多いと思います。企業のセキュリティ担当者なら、“自社のサイトは大丈夫なのだろうか……”と不安を覚えるでしょう。ウェブサーバに問題がある場合も、そのサーバにインストールしているサーバ証明書が問題の場合もあります。ここでは、サーバ証明書に関連するエラーメッセージの内容と、その回避方法について解説します。

意外とよく見るSSLサーバ証明書の警告表示

インターネットを使ったショッピング、企業間で大事な情報をやり取りする際、通信相手に対する信頼は欠かせません。ここで身元保証をしてくれるのが、「SSLサーバ証明書」です。

SSLサーバ証明書は、認証局（CA：Certification Authority）と呼ばれる専門の認証機関から発行を受けますが、証明書の内容やサーバの設定方法に不備があると、警告が出るようになります。

様々なサイトを閲覧していると、発行元の認証局が信頼できない、サーバ証明書の有効期限切れ、アドレスの不一致などの注意勧告に遭遇することがあります。 実際のところ、期限切れなどのミスは、直ちに深刻な被害に結びつくことは少ないのですが、ユーザのサイトに対する信頼感の低下は必至です。この機会に、サーバ証明書の運用を見直してみましょう。

よくあるエラーと対策を確認しておこう

有効期限切れ

「このWebページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません」

サーバ証明書のエラーで特に多いのが期限切れです。ブラウザの種類によって少し違いますが、いずれもこれに近い表現で期限切れを知らせてきます（以下「Internet Explorer（IE）」の例を挙げます）。

証明書は発行時に有効期限が指定され、期限が切れるとこのような警告が表示されますので、切れる前に認証局のサイトから、更新手続きを行うようにします。有効期限の確認は、ブラウザから以下の手順で可能です。（IEの場合、アドレスバーに表示された「カギ」マークから「証明書の表示」をクリック）。

証明書の発行元が信頼できない

有効期限切れと並んで、見る機会が多いのが「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」。認証局の信頼性を問うような表現ですが、原因の一つはサーバ側の設定ミスがあります。

ところで、認証局に対する認証は誰が行うのでしょう？答えは自分より上位の認証局です。最上位は「ルート認証局」と言い、自分で自分の証明書「自己署名証明書」を発行しています。

一般的なブラウザには、監査基準をクリアした信頼できる認証局があらかじめインストールされていて、このリストにあることが確認できれば、その認証局は信頼できると判断するわけです（IEの場合「インターネットオプション」から「コンテンツ」→「証明書」→「信頼されたルート証明機関」で確認できます）。

FirefoxやGoogle Chromeなどほかのブラウザも同様で、それぞれのブラウザベンダーが定めた厳しい基準をクリアした認証局の一覧が搭載されています。

ルート認証局の下位に位置する認証局が発行した証明書を使う場合、「中間証明書」が必要です。中間証明書がサーバにインストールされていないか、機能していないと、サイトが発行した証明書からルート証明書の存在を辿れないため、警告が出ることになります。この場合、サーバに中間証明書をインストールすると、エラーは消えるはずです。

もう一つは、ルート証明書に辿り着けないケースです。ブラウザがサーバ証明書を実装したサイトにアクセスした際、前述した手順でルート証明書を参照しますが、見つからないと警告を発します。

一般的なブラウザで認証できない証明書を、いわゆる「オレオレ証明書（自己署名証明書）」と呼ぶことがありますが、実績ある認証局から証明書の発行を受けることは、サイト運営の最初の一歩と言えそうです。

アドレスの不一致

「このWebサイトで提示されたセキュリティ証明書は、別のWebサイトのアドレス用に発行されたものです」

1通のサーバ証明書を、別のサーバに適用したときにこの通知が出ます。

Internet Explorerの場合

Firefoxの場合

認証局がサーバ証明書を発行する際は、ホスト名、ドメイン名などが記載された「コモンネーム」と呼ぶフォーマットに割り当てます。アクセスしたサイトと証明書のコモンネームが一致しないと、上記のような警告が出てしまいます。

対処方法は、サーバ証明書の流用を避けることです。URLが異なるサブドメインを設置する場合も、新たにサーバ証明書を取得する必要があります。なお、最近は1枚の証明書で複数のドメインで運用できるサービスもありますので、サイト増設などの際は検討してもいいでしょう。

危険性があるサイトを警告

「これは報告されている安全でないWebサイトです」

有効期限切れやサーバ証明書の流用が原因のエラーに比べ、遭遇する機会は少なめですが、ブラウザがサイトの危険性を察知すると、このメッセージを発します。

ブラウザは既知のフィッシングサイトに仕掛けられたプログラムと類似したものを検知すると、アクセスを止めるように制御します。

これが表示される典型的な例は偽装です。ウェブサイトのアドレス（URL）も、「0」（ゼロ）を「o」（オー）に変えるような手口で、ユーザを欺きます。当然ながら、信頼のおける認証局からサーバ証明書を取得し、正しく運用していればこのような警告は出ません。

その他の警告表示例

サーバ証明書に関する警告は、有効期限切れ、認証機関の信頼性、名前不一致の3パターンが多いのですが、これ以外にもいくつかあります。ときどき遭遇するのは「セキュリティで保護されたWebページコンテンツのみを表示しますか？」というものです。

一見、サーバ証明書と関連はなさそうですが、サーバ証明書で認証された範囲のドメイン内でも、リンク先、例えば、バナーやスクリプトでつながるコンテンツがSSL/TLSで保護されていないと、このメッセージが出てきます。

この場合、多くはアドレスの記載ミスですから、リンク先が信頼できるものであれば、「https」で始まるURLを正しく記載すれば防ぐことができます。

このほかにも、特定のサーバやブラウザ、クライアントの機種に依存するエラーもありますが、認証局やシステムの提供元のサイトで対処方法は公開されているはずです。

セキュリティは普段が肝心！慌てる前に日常業務への組込みを

ブラウザに警告が出ると、仮にそこが個人情報や電子商取引を扱うようなサイトなら、ユーザとして以後は敬遠したくなるでしょう。これまで見てきたように、フィッシングのような悪意は別として、警告メッセージの多くは、運用上のミスが要因と言えます。

“コトが起きてから慌てるのではなく、普段の実践、心がけが大事”

サイトのセキュリティにも、これは当てはまりそうです。サーバ証明書の有効期限チェック、サーバ増設の際の内容確認などは、日常のメンテナンス業務の一環として組み込めるはず。

今はサイト内のサーバ証明書の有効期限を一括してチェックするツールや、サーバ証明書の有効性を含め脆弱性を検出するサービスなど、いろいろなソリューションがありますので、導入を検討してみてもいいでしょう。