teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップnginxに関する質問
nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

VPS

VPS(バーチャル・プライベート・サーバ)は、仮想化されたサーバをレンタルするサービスで、共有サーバでありながら専門サーバと同等の機能を果たします。物理的な専門サーバより安価で提供できるメリットがあります。

Q&A

解決済

3回答

3103閲覧

SSLのエラーについて

Nanohana
Nanohana

総合スコア123

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

VPS

VPS(バーチャル・プライベート・サーバ)は、仮想化されたサーバをレンタルするサービスで、共有サーバでありながら専門サーバと同等の機能を果たします。物理的な専門サーバより安価で提供できるメリットがあります。

0グッド

1クリップ

投稿2016/03/07 14:32

編集2016/03/07 14:52

0

1

a.com
b.com
の2つのドメインを同じVPSサーバ上で運営していて、
どちらもSSLの設定はできていて、Qualys SSL ReportでA+評価を得ていると仮定します。
(=つまり正常に設定できてるはずですね)

a.comにアクセスした際に、
「a.comは不正なセキュリティ証明書を使用しています。この証明書はb.comにだけ有効なものです」と表示されることが「たまに」あると申告を受けています。
(私は未確認、Firefox,chrome,safari等で確認)
申告者は、Firefoxを使っており、セキュリティソフトはカルペルスキーだそうです。

なお、a.comのトップページの画像はb.comからhttpsで呼び出しています。
サーバーの負荷は高めで、さくらのVPSのコントロールパネルを確認すると、
時間帯によってはCPUのスコアが500msecになっています。

(CPUのスコアは3コアプランなので最大3000msecまで使えるはずです)

この時考えられる理由と対策は何があるでしょうか?
単純にDBとデータ部分を分離するなどしてサーバ負荷を下げるのが無難でしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

SNI ( Server Name Indication / RFC 6066 ) を使われているんですね。
1つの IP アドレスで、複数の SSL 証明書を使うための技術なので、 二つのサイトのポートが、443で 問題ないです。

動いているので大丈夫と思いますが、念のため、nginx は、SNI 対応で、インストールしていますよね?

nginx -V

で、

nginx version: nginx/1.8.1
TLS SNI support enabled

のように表示されたら対応しています。

エラーが出る方は、古いブラウザをお使いということはないですよね?
古いブラウザだと SNI に対応していなくて、「証明書が〜」とメッセージを出すのが、ありましたが、主要なブラウザは、2012〜13年頃には、対応済みになっていたので、Windows XP がなくなった今は未対応ブラウザはないと思います。

ふと思いついて、「Kaspersky SSL 証明書」で、検索すると

セキュリティ証明書絡みの不具合
ChromeでGoogle検索すると「SSL接続エラー」になる

等の情報が見つかるのですが、もしかしたら、Kaspersky が、 SNI に対応していないとか あるのでしょうか?
Kasperskyのサイトを見ているのですが、詳しく書かれていないので、判断できていません。

投稿2016/03/08 11:34

編集2016/03/08 11:36
CHERRY
CHERRY

総合スコア25171

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Nanohana
Nanohana

2016/03/08 11:39

ありがとうございます。 # nginx -V nginx version: nginx/1.8.1 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC) built with OpenSSL 1.0.1e-fips 11 Feb 2013 TLS SNI support enabled です。ユーザーのブラウザはFirefox44.0.2とのことで、SNIは対応しているようです。 Kasperskyが怪しいとは新情報ですが、解決の糸口が見えないのは辛いですね。 一般的には問題ないので、個別事象なので対応不可と回答しちゃうのも微妙なんですよね...
Nanohana
Nanohana

2016/03/09 09:49

ありがとうございました。 とりあえず申告者によると症状は治まったとのことなので、 SNIの設定でcURLを使っていた部分を実URLにしたことで復旧したものとみなしたいと思います。 http://qiita.com/sawanoboly/items/5fd06f4787853c756122 ありがとうございました。
guest

0

ひとまず、エラー内容からコメントしますと、

「a.comは不正なセキュリティ証明書を使用しています。この証明書はb.comにだけ有効なものです」

このエラーはサーバー証明書に含まれるCommonNameとアクセスURLに含まれるFQDNが不一致した場合に発生すると思われますので、まずはそこが一致しているかを確認してください。

「なお、a.comのトップページの画像はb.comからhttpsで呼び出しています。」
この一文がどういう意味かが読み取れませんでした。

Webサーバーを2つ、同一のVPSで稼動させていて、サーバー内で連携している? とかでしょうか?
構成を具体的に教えて下さい。

「「a.comは不正なセキュリティ証明書を使用しています。この証明書はb.comにだけ有効なものです」と表示されることが「たまに」あると申告を受けています。
(私は未確認、Firefox,chrome,safari等で確認) 」

上記エラーが出た際の状況をもっと具体的にヒアリングされた方が良いと思います。
証明書の問題であれば、サーバー負荷によらず同じ手順で毎回必ず発生しそうな気がします。

投稿2016/03/08 09:22

Tira
Tira

総合スコア91

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Nanohana
Nanohana

2016/03/08 09:45

>>このエラーはサーバー証明書に含まれるCommonNameとアクセスURLに含まれるFQDNが不一致した場合に発生すると思われますので、まずはそこが一致しているかを確認してください。 私がアクセスした時は毎度問題なく一致しています。 >>Webサーバーを2つ、同一のVPSで稼動させていて、サーバー内で連携している? とかでしょうか? 構成を具体的に教えて下さい。 webサーバーは1つ(VPS)で、ドメインは2つ、サーバー内で連携しています。 具体的にはhttps://2nd-train.net のトップページからhttps://train-directory.net の 配下の画像へ呼び出しを行っています。 >>証明書の問題であれば、サーバー負荷によらず同じ手順で毎回必ず発生しそうな気がします。 私は確認できていないので、さすがにそれは無いと思います。
Tira
Tira

2016/03/08 10:51

ご提示いただいたURLの証明書を見ると、CommonNameは問題無さそうですねえ。 「webサーバーは1つ(VPS)で、ドメインは2つ、サーバー内で連携しています。 具体的にはhttps://2nd-train.net のトップページからhttps://train-directory.net の 配下の画像へ呼び出しを行っています。」 すいません。やっぱり構成がわかりませんでした。 LinuxベースのVPS上にApache等でWebサーバーを構築されているのでしょうか? もしApacheだと仮定して話をすると、Apache一つでVertualHostで分けている?とかですかね。 クライアント ⇒ VPS上のApache           ・<Vertualhost①>⇒https://2nd-train.net           ・<Vertualhost②>⇒https://train-directory.net 例えばこんな感じですか? 一つのWebサーバーアプリ内でドメインを分けてるって感じなんですかね? 使われてるWebサーバーアプリは何でしょうか?
Tira
Tira

2016/03/08 10:58

と思ったら、tag付いてましたね。Webサーバーアプリはnginxですかね。
Nanohana
Nanohana

2016/03/08 11:09

すいません。nginx上のバーチャルホストで erver { listen 80; server_name 2nd-train.net; return 301 https://2nd-train.net/$request_uri; } server { listen 443 ssl; server_name 2nd-train.net; root <省略> charset koi8-r; ssl_certificate /etc/nginx/***.pem; ssl_certificate_key /etc/nginx/***.key; ssl_dhparam /etc/nginx/***.pem; ssl_session_timeout 5m; ssl_protocols (省略) ssl_ciphers (省略)等々 } のような設定を2ドメイン入れています。 なお、昨日までは、return 301 https://2nd-train.net/$request_uri; の部分が、return 301 https://$host$request_uri; でした。
Tira
Tira

2016/03/08 11:41

クライアント側のブラウザのバージョンが古いから、というオチがあるかも知れません。 http://server-setting.info/centos/apache-nginx-12-ssl.html#nginx_ssl_5 上記URL見るとFirefoxは2.0以降でないとServer Name Indication(今回マルチドメイン構築に使われている方法)に対応していないと記載があります。 クライアントのブラウザのバージョンを確認されてみてはどうでしょうか。
Tira
Tira

2016/03/08 11:42

と思ったら別な方の回答に記載頂いた通り、ブラウザバージョンも新しい物使われてるんですね。
Nanohana
Nanohana

2016/03/09 09:51

ありがとうございました。申告者によると復旧したとのことなので、バーチャルホストの設定を見直す(cURLを使わない)で解決したものとみなそうと思います。
guest

0

使ってるポートがどちらも443なのでは?

投稿2016/03/08 09:48

DaichiYasuda
DaichiYasuda

総合スコア173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Nanohana
Nanohana

2016/03/08 09:51 編集

まさか...同一VPS(1つのサーバ)で2つのドメインをそれぞれSSLで運用する時はまさかそれぞれSSLのポートを変えるのがデフォルトだったりしますか?(443と別のポートに) もしそうであれば盲点なのですが.... httpでは両方80でしたので、そのオチは気づかなかったのですが...
Nanohana
Nanohana

2016/03/09 09:50

ありがとうございます。申告者はFirefox44とのことで対応できているみたいです。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップnginxに関する質問

SSLのエラーについて