質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.62%

ブラウザによって証明書が無効になるのは、何故でしょうか。

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 28K+

km_beginner

score 15

IT初心者で基本的なことかもしれませんが、皆様からご教示いただきたいです。

 ご教示いただきたいこと

「ブラウザによって証明書が有効・無効が異なるのは、どのような原因があるのでしょうか。」

 質問の背景

本日「edex.adobe.com」というアドビのサイトへ、初めてアクセスしました。
● Chromeブラウザを使うと、以下のエラーが表示されます。

この接続ではプライバシーが保護されません
攻撃者が、edex.adobe.com 上のあなたの情報(パスワード、メッセージ、クレジット カード情報など)を不正に取得しようとしている可能性があります。

● 一方でSafariブラウザを使うと、問題なくWebサイトへアクセスすることができます。

 分かっていること

Chromeブラウザでエラーが表示されるのは、
「無効な証明書を使っているから」というのは分かっています。

また、今回のドメインへは初めてのアクセスのため、
ブラウザのキャッシュも関係なさそうです。
(証明書にキャッシュが関係なければご指摘いただけると非常に嬉しいです。)


どうぞよろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+8

edex.adobe.comで、証明書チェーンの中間認証局の証明書(いわゆる中間証明書)がサーバから渡されていないからです。

Safariで確認したところ、edex.adobe.comの証明書は次のように信頼されています。

VeriSign Class 3 Public Primary Certification Authority - G5 (ルート認証局)
└Symantec Class 3 Secure Server CA - G4 (中間認証局)
 └edex.adobe.com (サーバ)

ルート認証局であるVeriSignはOSのシステムまたはブラウザにデフォルトでインストールされています(SafariとChromeはOSを見に行きますが、Firefoxはブラウザ内部で持っています)。該当のVeriSignは最新のSafari、Chrome、Firefox全てで信頼されています。さて、edex.adobe.comが正しいものかを確認するには、まず、中間認証局の証明書(以下、中間証明書)であるSymantecでedex.adobe.comが署名されているか確認し、SymantecがVeriSignで署名されているかを確認しなくてはなりません。もともとOSまたはブラウザ側でもっているのはVeriSignだけですので、edex.adobe.comのみならず、Symantecの証明書もどこからか入手する必要があります。

通常、ほとんどのサーバは自分の証明書と一緒に中間証明書も渡します。そうすることで、ルート認証局からサーバ証明書までの証明書チェーンの全てがブラウザは確認ができます。しかし、管理者が設定を忘れた場合、サーバ証明書しか渡さない場合があります。このとき、ブラウザによって動作が異なります。

サーバ証明書にはどの中間証明書を使っているかの情報が書いてあります。IEやSafariはわざわざその情報に基づき、自分で中間証明書を取得に行ってくれます。しかし、ChromeやFirefoxはそんなことはしません。中間証明書をつけていない奴が悪い、と言う扱いで、この証明書はちゃんとしたところから署名されていない!偽者だ!と判断します。この動作はブラウザの不具合とかそういうものでは無く、正当な動作です。そのため、中間証明書もサーバ側で配るように設定しておくのが正しい設定になります。

なお、利用者から見るとわかりにくいところで、この中間証明書自体をブラウザがキャッシュで持つ場合があります。つまり、ChromeやFirefoxであっても、同じ中間証明書を使って正しく配付しているサイトを見た後にedex.adobe.comをみるとうまくいく場合もあります。

ということで、結論はAdobeのサーバ管理者の設定ミスです。ブラウザが悪いわけではありません。そのうち気付いてなおると思います。

【おまけ】

証明書が渡される数の違いは下記コマンドで確認できます(MacまたはLinuxで実行してください)。edex.adobe.comは1つに対し、エラー無く表示できるwww.adobe.comは3つ(本来は不要なルート認証局までつけています)も返しているのがわかると思います。

openssl s_client -connect edex.adobe.com:443 -showcerts < /dev/null
openssl s_client -connect www.adobe.com:443 -showcerts < /dev/null

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/12 22:42

    手元のChrome(WindowsとAndroid)で見たときに何事もなく通ってしまいましたが、環境によって違うのもなかなか厄介なものです。

    キャンセル

  • 2016/10/12 22:50

    他から取っているとうまくいくときもあるんだよ…を追加しておきました。IEだと起きない、Firefoxでも起きないときがあると言うことで、確認が結構難しいです。サーバ証明書を入れ替えたタイミングで中間証明書も変わったのに気付かなかったはよくあるミスなんですけどね…。

    キャンセル

  • 2016/10/14 22:23 編集

    raccyさん、とても丁寧にご教示いただきありがとうございました!初心者の私でも 「ルート認証局・中間認証局・サーバ」を分けて理解することができました。

    キャンセル

+2

SSL証明書はその正当性を証明するために、発行した認証局が署名を行っています。そしてその証明書も発行した認証局の署名が…というようになっていますが、このような構造を無限に続けることもできませんので、「この証明書は信用できる」という大本の証明書がブラウザやOSに組み込んであって、ルート証明書といいます。

ルート証明書としてブラウザに載せてもらうには一定の基準があるのですが、実際に入るものには細かな差異も出ています。

日本でいちばん目立つところでは、「LGPKI」という、地方自治体が主体となって設立された認証局があります。こちらはWindowsには入れてもらえたのですが、ほかのところではまだ通らない状態になっているので、「Windows上のIEやChromeだけで正当と判断される」状態になってしまっています(実際のサイト; 環境によってはSSLエラーになるので注意)。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/14 22:22

    maisumakunさん、ご教示いただきありがとうございました!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.62%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る