Q&A
ご回答ありがとうございます。
ご丁寧に教えて頂きましたおかげで、理解することができました。
前提・実現したいこと
SSLサーバー証明書について、疑問があります。
こちらにアクセスをするとアドレス部分に「保護されていない通信」と表示されています。
そこの部分をクリックしますと、「証明書」項目がありその中には、以下の記載がありました。
SSLサーバー証明書を取得していないにも関わらず、コモンネームが既に登録されているのは何故なのでしょうか。
SSLサーバー証明書を取得していないということは、「SSLサーバー証明書が存在しません」のような表示になるのではないかと思いました。
試したこと
コモンネームやSSLサーバー証明書について調べてみましたが、どうしてもここの部分の疑問が払拭出来ませんでした。
こちらの疑問につきまして、どなたかご助言頂けましたら幸いです。
回答4件
0
ベストアンサー
提示していただいてる証明書は「ワイルドカード証明書」というタイプでして、*.wp.xdomain.ne.jp にマッチする任意のホスト名に使える証明書です。maisumakunさんが指摘しているように、これはレンタルサーバー事業者が用意しているものですね。
一方エラーになっている理由は、aaaa12345.wp.xdomain.jp というホスト名は先のワイルドカードにマッチしない(.ne.jpと.jpの違い)からです。
追記しました。
レンタルサーバーは1台のサーバーに複数のホスト(ドメイン名)が同居しています。
www.example.jp,
www.example.com,
www.example.co.jp …が同居する場合、通常それぞれのホスト名に対応した証明書を導入します。これは利用者が持つ独自ドメインの場合はそうなります。
一方、xdomain.jpはレンタルサーバーが登録しているドメイン名でして、利用者はそのサブドメインを使う形になります。今回のaaaa12345.wp.xdomain.jpは、xdomain.jpのサブドメインです。
このようなケースでは、以下のようなサブドメインがついたサーバーが共存することになります。
lotno75.wp.xdomain.jp
oyakobousai.wp.xdomain.jp
breg.wp.xdomain.jp
yagischool.wp.xdomain.jp
...
この場合、それぞれのホスト名に対応した証明書を用意してもよいのですが、すべてに共通して使えるSSL証明書があれば便利です。そのような証明書は実際にあり、「ワイルドカード証明書」と呼ばれます。
*.wp.xdomain.jp に対応したワイルドカード証明書の場合、将来、
hogehoge.wp.xdomain.jp や
foo.wp.xdomain.jp がサーバーに追加されても、新たに証明書を登録しなくても、そのままSSL証明書として使えます。
ここまでは、一般論です。
今回のケースですと、「使えるはずなのにエラーになる」わけですが、その理由は下記の二点です。
(1) ワイルドカードにマッチしないホスト名である
aaaa12345.wp.xdomain.jp というホスト名に対応するワイルドカード証明書は、
*.wp.xdomain.jp
というコモンネームが必要ですが、サーバーにインストールされている証明書は、
*.wp.xdomain.ne.jp
です(.neが余計)。なので、ワイルドカードにはマッチせず、エラーになります。
(2) 証明書自体が正規のものでない
このサーバーにインストールされている証明書は正規の証明書ではなく、自己署名(オレオレ証明書)のようです。このため、仮にワイルドカードがマッチしていても、どのみちエラーになります。
投稿2020/06/11 03:43
編集2020/06/11 09:11
総合スコア11705
0
SSLサーバー証明書を取得していないにも関わらず、コモンネームが既に登録されているのは何故なのでしょうか。
レンタルサーバ側がデフォルト設定のを適用しているだけかと思います。
投稿2020/06/11 03:06
総合スコア146018
0
SSLサーバー証明書を取得していないにも関わらず、コモンネームが既に登録されているのは何故なのでしょうか。
アクセスして「保護されていない通信」と表示されているサイトと、今回の証明書にある wp.xdomain.ne.jp, *.wp.xdomain.ne.jp とが同じサーバに同居しているからです。
そのうえで、アクセスを受けたサーバが wp.xdomain.ne.jp, *.wp.xdomain.ne.jp のつもりで証明書をクライアントに提示してきていることになります。
SSLサーバー証明書を取得していないということは、「SSLサーバー証明書が存在しません」のような表示になるのではないかと思いました。
本来、複数のサイトを同じサーバで運用するケースであっても、アクセスされたサイトに応じて証明書を使い分ける機能が備わっています。( SNI )
しかし、今回アクセスしたサイト用の証明書がインストールされていないということで、サーバがデフォルトとして設定されている証明書を使う挙動になっているのでしょう。
※単にSNIを使っていないだけかも知れませんが
投稿2020/06/11 15:18
総合スコア1681
0
SSLサーバー証明書を取得していないということは、「SSLサーバー証明書が存在しません」のような表示になるのではないかと思いました。
webサーバ(apacheやnginx)でどのサーバー証明書を使用するのか?も設定項目のひとつですので、証明書ファイルがないとそもそもwebサーバが起動しません。
そのため、『「SSLサーバー証明書が存在しません」のような表示になる』状態が起こりえません。
通信がSSLで暗号化されることは、https:/***のサイトならばできています。
そのサーバが安全であるか証明されていること(公的認証局からだされた証明書を使っているか)は別のことです。
apacheでhttpsしたい場合はmod_sslを利用しますが、mod_sslインストール時に自己証明書が作成されています。
投稿2020/06/11 07:21
総合スコア2751
ご回答ありがとうございます。
>証明書ファイルがないとそもそもwebサーバが起動しません。
こちらですが、webサーバーを起動するに当たっては、公的認証局から出された証明書(SSL証明書)を使用せずとも、自己証明書が作成される為、どこかのサイトにアクセスした際は、ホストはクライアントに必ずそのサーバーの証明書を提示しなければならないといった形でしょうか?
apache + mod_ssl では自動的に自己証明書が作られますが、
私の操作したことがあるものとして、linixのnginxや、Windowsのiisは手動で自己証明書を作成して設定しなければなりませんでした。
もちろん公的証明書を取得してサーバ証明書とすることも可能です。
公的証明書を使うと、クライアント(ユーザ)はこのWebサーバは安全なんだなと認識できます。
(オンラインショップが自己証明書を使ってたら嫌ですよね)
ご返信ありがとうございます。
>公的証明書を使うと、クライアント(ユーザ)はこのWebサーバは安全なんだなと認識できます。
実質、証明書がないホストへのアクセスというのはあり得ないが、それが公的証明書でない場合は、クライアントが安全であると認識出来ずに、「保護されていない通信」などと警告が表示される、といった流れですね。
勉強になりました。ありがとうございました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/06/11 03:58 編集
退会済みユーザー
2020/06/11 10:39
2020/06/11 23:40