期限切れの中間SSL証明書チェーンの修正

2020年6月更新: 最近、ルート証明書の期限切れにより,多くのサイトが影響を受けていることから、証明書チェーンにおけるTLS/SSLの中間証明書に関するガイドをもう一度お伝えすることが必要であると考えました。中間証明書はルート証明書に依存していることに注意してください。ルート証明書の詳細については、「The Impacts of Root Certificate Expiration」をご覧ください。

オリジナル 2014年のコンテンツ

2014年7月26日午後12時15分、デジサートによって保護されたサイトの一部のお客様やユーザーから、信頼されていない証明書のエラーが発生するとの報告がありました。

この問題は、ローカルにインストールされた古い中間証明書に関連しています。この中間証明書は、現在は使用されておらず、証明書のインストールにも必要ありません。この問題は、ローカルにキャッシュされた、またはインストールされた中間証明書を持つすべてのクライアントプラットフォームに影響を与える可能性があります。

これまでのところ、この問題は以下のような場合に発生しています。

  • 期限切れの中間証明書がローカルキーチェーンにインストールされているクライアント(主にOS X)。
  • Windows環境でのサーバー間接続で、一方のサーバーに古い証明書がインストールされたままの場合。

期限切れの古い中間証明書

問題となっている期限切れの証明書は、「DigiCert High Assurance EV Root CA [Expiration July 26, 2014]」の証明書です。この一時的な中間証明書は、過去に古いデバイスの互換性チェーンの一部として使用されていました。

この証明書は3年以上使用されておらず、インストールには不要です。

追加の情報によると、影響を受けたユーザーは、期限切れの中間証明書を「ログイン」キーチェーンやサーバーのローカルに保存しているか、バックエンドサーバーやアプリケーションにインストールしているようです。

Mac OS Xで期限切れの中間証明書を修正する

Mac OS Xでのエラーは、ローカルにインストールされた中間証明書がログインキーチェーンにあることが原因です。

OS Xユーザーは、キーチェーンアクセスを使用してログインキーストアから証明書を削除することで、この問題を解決できます。

キーチェーンアクセス の「表示」→ 「期限切れの証明書を表示」で、「DigiCert High」を検索すると、2014年7月26日に期限切れとなった「DigiCert High Assurance EV Root CA」が見つかります。この証明書を削除して、キーチェーンへのアクセスを閉じます。

(写真で解決策を示してくれた Allen Hancock @yesthatallen と、回答を寄せてくれた他の方々に感謝します。)

 

Windows、Exchange、ISA、TMG、Lync上の中間証明書の修復

ISAサーバーまたはTMGで、Windows/Exchangeを実行している管理者は、「DigiCert SSL Installation Diagnostics Tool」を実行できます。

対象となるサーバーでは、「Your server is not sending the right intermediate certificates」という警告が表示されます。Windowsサーバーの場合は、DigiCert Utilityを使用して解決できます。

このユーティリティをサーバ上で実行すると、警告が表示される場合があります。「Action Required」と「OK」をクリックすると、期限切れの中間証明書が削除され、正しい証明書チェーンが有効になります。変更を有効にするには、サーバの再起動が必要になる場合があります。

ユーティリティーを実行できない場合は、2014年7月26日に期限が切れる「DigiCert High Assurance EV Root CA」証明書を手動で削除することで、この問題を解決することができます。証明書を再発行する必要はありません。

Apache における期限切れの中間証明書の修正

Apache の管理者は、SSLCertificateChainFile を、デジサート から受け取った証明書で提供される正しい「Digicert CA.crt」に置き換えることができます。この証明書は、注文詳細にあるデジサートアカウントからダウンロードできます。

ほとんどの証明書のインストールでは、何もする必要がありません

現在インストールされているデジサートが発行する証明書には、ブラウザとの信頼関係を確立するために、最新の中間証明書が含まれています。

しかし、デジサートからの通知を受け取った管理者は、潜在的な競合を避けるために、期限切れの古い中間証明書をサーバーから削除する必要があります。

他のプラットフォームの情報をお持ちの方は、サポートまでご連絡ください 。詳しい情報を入手し、キャッシュされた中間証明書エラーを解決するためのドキュメントを更新します。

この問題やその他の問題でサポートが必要な場合は、当社のサポートチームがいつでもお手伝いいたします。

Posted in SSL, お知らせ