質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.06%

SSLのエラーについて

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 2,523

score 112

a.com
b.com
の2つのドメインを同じVPSサーバ上で運営していて、
どちらもSSLの設定はできていて、Qualys SSL ReportでA+評価を得ていると仮定します。
(=つまり正常に設定できてるはずですね)

a.comにアクセスした際に、
「a.comは不正なセキュリティ証明書を使用しています。この証明書はb.comにだけ有効なものです」と表示されることが「たまに」あると申告を受けています。
(私は未確認、Firefox,chrome,safari等で確認)
申告者は、Firefoxを使っており、セキュリティソフトはカルペルスキーだそうです。

なお、a.comのトップページの画像はb.comからhttpsで呼び出しています。
サーバーの負荷は高めで、さくらのVPSのコントロールパネルを確認すると、
時間帯によってはCPUのスコアが500msecになっています。

(CPUのスコアは3コアプランなので最大3000msecまで使えるはずです)

この時考えられる理由と対策は何があるでしょうか?
単純にDBとデータ部分を分離するなどしてサーバ負荷を下げるのが無難でしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+1

SNI ( Server Name Indication / RFC 6066 ) を使われているんですね。
1つの IP アドレスで、複数の SSL 証明書を使うための技術なので、 二つのサイトのポートが、443で 問題ないです。

動いているので大丈夫と思いますが、念のため、nginx は、SNI 対応で、インストールしていますよね?

nginx -V

で、

nginx version: nginx/1.8.1
TLS SNI support enabled

のように表示されたら対応しています。

エラーが出る方は、古いブラウザをお使いということはないですよね?
古いブラウザだと SNI に対応していなくて、「証明書が〜」とメッセージを出すのが、ありましたが、主要なブラウザは、2012〜13年頃には、対応済みになっていたので、Windows XP がなくなった今は未対応ブラウザはないと思います。

ふと思いついて、「Kaspersky SSL 証明書」で、検索すると

セキュリティ証明書絡みの不具合
ChromeでGoogle検索すると「SSL接続エラー」になる

等の情報が見つかるのですが、もしかしたら、Kaspersky が、 SNI に対応していないとか あるのでしょうか?
Kasperskyのサイトを見ているのですが、詳しく書かれていないので、判断できていません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/03/08 20:39

    ありがとうございます。

    # nginx -V
    nginx version: nginx/1.8.1
    built by gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
    built with OpenSSL 1.0.1e-fips 11 Feb 2013
    TLS SNI support enabled

    です。ユーザーのブラウザはFirefox44.0.2とのことで、SNIは対応しているようです。
    Kasperskyが怪しいとは新情報ですが、解決の糸口が見えないのは辛いですね。
    一般的には問題ないので、個別事象なので対応不可と回答しちゃうのも微妙なんですよね...

    キャンセル

  • 2016/03/09 18:49

    ありがとうございました。
    とりあえず申告者によると症状は治まったとのことなので、
    SNIの設定でcURLを使っていた部分を実URLにしたことで復旧したものとみなしたいと思います。
    http://qiita.com/sawanoboly/items/5fd06f4787853c756122

    ありがとうございました。

    キャンセル

+1

ひとまず、エラー内容からコメントしますと、

「a.comは不正なセキュリティ証明書を使用しています。この証明書はb.comにだけ有効なものです」

このエラーはサーバー証明書に含まれるCommonNameとアクセスURLに含まれるFQDNが不一致した場合に発生すると思われますので、まずはそこが一致しているかを確認してください。

「なお、a.comのトップページの画像はb.comからhttpsで呼び出しています。」
この一文がどういう意味かが読み取れませんでした。

Webサーバーを2つ、同一のVPSで稼動させていて、サーバー内で連携している? とかでしょうか?
構成を具体的に教えて下さい。

「「a.comは不正なセキュリティ証明書を使用しています。この証明書はb.comにだけ有効なものです」と表示されることが「たまに」あると申告を受けています。 
(私は未確認、Firefox,chrome,safari等で確認) 」

上記エラーが出た際の状況をもっと具体的にヒアリングされた方が良いと思います。
証明書の問題であれば、サーバー負荷によらず同じ手順で毎回必ず発生しそうな気がします。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/03/08 20:41

    クライアント側のブラウザのバージョンが古いから、というオチがあるかも知れません。

    http://server-setting.info/centos/apache-nginx-12-ssl.html#nginx_ssl_5

    上記URL見るとFirefoxは2.0以降でないとServer Name Indication(今回マルチドメイン構築に使われている方法)に対応していないと記載があります。

    クライアントのブラウザのバージョンを確認されてみてはどうでしょうか。

    キャンセル

  • 2016/03/08 20:42

    と思ったら別な方の回答に記載頂いた通り、ブラウザバージョンも新しい物使われてるんですね。

    キャンセル

  • 2016/03/09 18:51

    ありがとうございました。申告者によると復旧したとのことなので、バーチャルホストの設定を見直す(cURLを使わない)で解決したものとみなそうと思います。

    キャンセル

0

使ってるポートがどちらも443なのでは?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/03/08 18:50 編集

    まさか...同一VPS(1つのサーバ)で2つのドメインをそれぞれSSLで運用する時はまさかそれぞれSSLのポートを変えるのがデフォルトだったりしますか?(443と別のポートに)
    もしそうであれば盲点なのですが....
    httpでは両方80でしたので、そのオチは気づかなかったのですが...

    キャンセル

  • 2016/03/08 21:07

    SNI使われてるんですね
    証明書はひとつのポートに基本的に1つなので。。
    SNIを使われてたら問題ないと思います。

    下記サイトで確認してみてはいかがでしょうか
    https://ja.wikipedia.org/wiki/Template:ウェブブラウザにおけるTLS/SSLの対応状況の変化

    キャンセル

  • 2016/03/09 18:50

    ありがとうございます。申告者はFirefox44とのことで対応できているみたいです。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.06%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る