質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Chrome

Google Chromeは携帯、テレビ、デスクトップなどの様々なプラットフォームで利用できるウェブブラウザです。Googleが開発したもので、Blink (レンダリングエンジン) とアプリケーションフレームワークを使用しています。

Safari

SafariはAppleのウェブブラウザであり、Mac OS XとiOSのデフォルトのブラウザです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Q&A

解決済

2回答

42826閲覧

ブラウザによって証明書が無効になるのは、何故でしょうか。

km_beginner

総合スコア15

Chrome

Google Chromeは携帯、テレビ、デスクトップなどの様々なプラットフォームで利用できるウェブブラウザです。Googleが開発したもので、Blink (レンダリングエンジン) とアプリケーションフレームワークを使用しています。

Safari

SafariはAppleのウェブブラウザであり、Mac OS XとiOSのデフォルトのブラウザです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

1グッド

0クリップ

投稿2016/10/12 12:08

IT初心者で基本的なことかもしれませんが、皆様からご教示いただきたいです。

ご教示いただきたいこと

「ブラウザによって証明書が有効・無効が異なるのは、どのような原因があるのでしょうか。」

質問の背景

本日「edex.adobe.com」というアドビのサイトへ、初めてアクセスしました。
● Chromeブラウザを使うと、以下のエラーが表示されます。

この接続ではプライバシーが保護されません 攻撃者が、edex.adobe.com 上のあなたの情報(パスワード、メッセージ、クレジット カード情報など)を不正に取得しようとしている可能性があります。

● 一方でSafariブラウザを使うと、問題なくWebサイトへアクセスすることができます。

分かっていること

Chromeブラウザでエラーが表示されるのは、
「無効な証明書を使っているから」というのは分かっています。

また、今回のドメインへは初めてのアクセスのため、
ブラウザのキャッシュも関係なさそうです。
(証明書にキャッシュが関係なければご指摘いただけると非常に嬉しいです。)

どうぞよろしくお願いいたします。

ykws👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

edex.adobe.comで、証明書チェーンの中間認証局の証明書(いわゆる中間証明書)がサーバから渡されていないからです。

Safariで確認したところ、edex.adobe.comの証明書は次のように信頼されています。

VeriSign Class 3 Public Primary Certification Authority - G5 (ルート認証局)
└Symantec Class 3 Secure Server CA - G4 (中間認証局)
└edex.adobe.com (サーバ)

ルート認証局であるVeriSignはOSのシステムまたはブラウザにデフォルトでインストールされています(SafariとChromeはOSを見に行きますが、Firefoxはブラウザ内部で持っています)。該当のVeriSignは最新のSafari、Chrome、Firefox全てで信頼されています。さて、edex.adobe.comが正しいものかを確認するには、まず、中間認証局の証明書(以下、中間証明書)であるSymantecでedex.adobe.comが署名されているか確認し、SymantecがVeriSignで署名されているかを確認しなくてはなりません。もともとOSまたはブラウザ側でもっているのはVeriSignだけですので、edex.adobe.comのみならず、Symantecの証明書もどこからか入手する必要があります。

通常、ほとんどのサーバは自分の証明書と一緒に中間証明書も渡します。そうすることで、ルート認証局からサーバ証明書までの証明書チェーンの全てがブラウザは確認ができます。しかし、管理者が設定を忘れた場合、サーバ証明書しか渡さない場合があります。このとき、ブラウザによって動作が異なります。

サーバ証明書にはどの中間証明書を使っているかの情報が書いてあります。IEやSafariはわざわざその情報に基づき、自分で中間証明書を取得に行ってくれます。しかし、ChromeやFirefoxはそんなことはしません。中間証明書をつけていない奴が悪い、と言う扱いで、**この証明書はちゃんとしたところから署名されていない!偽者だ!**と判断します。この動作はブラウザの不具合とかそういうものでは無く、正当な動作です。そのため、中間証明書もサーバ側で配るように設定しておくのが正しい設定になります。

なお、利用者から見るとわかりにくいところで、この中間証明書自体をブラウザがキャッシュで持つ場合があります。つまり、ChromeやFirefoxであっても、同じ中間証明書を使って正しく配付しているサイトを見た後にedex.adobe.comをみるとうまくいく場合もあります。

ということで、結論はAdobeのサーバ管理者の設定ミスです。ブラウザが悪いわけではありません。そのうち気付いてなおると思います。

【おまけ】

証明書が渡される数の違いは下記コマンドで確認できます(MacまたはLinuxで実行してください)。edex.adobe.comは1つに対し、エラー無く表示できるwww.adobe.comは3つ(本来は不要なルート認証局までつけています)も返しているのがわかると思います。

openssl s_client -connect edex.adobe.com:443 -showcerts < /dev/null openssl s_client -connect www.adobe.com:443 -showcerts < /dev/null

投稿2016/10/12 12:56

編集2016/10/12 13:51
raccy

総合スコア21733

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2016/10/12 13:42

手元のChrome(WindowsとAndroid)で見たときに何事もなく通ってしまいましたが、環境によって違うのもなかなか厄介なものです。
raccy

2016/10/12 13:50

他から取っているとうまくいくときもあるんだよ…を追加しておきました。IEだと起きない、Firefoxでも起きないときがあると言うことで、確認が結構難しいです。サーバ証明書を入れ替えたタイミングで中間証明書も変わったのに気付かなかったはよくあるミスなんですけどね…。
km_beginner

2016/10/14 13:23 編集

raccyさん、とても丁寧にご教示いただきありがとうございました!初心者の私でも 「ルート認証局・中間認証局・サーバ」を分けて理解することができました。
guest

0

SSL証明書はその正当性を証明するために、発行した認証局が署名を行っています。そしてその証明書も発行した認証局の署名が…というようになっていますが、このような構造を無限に続けることもできませんので、「この証明書は信用できる」という大本の証明書がブラウザやOSに組み込んであって、ルート証明書といいます。

ルート証明書としてブラウザに載せてもらうには一定の基準があるのですが、実際に入るものには細かな差異も出ています。

日本でいちばん目立つところでは、「LGPKI」という、地方自治体が主体となって設立された認証局があります。こちらはWindowsには入れてもらえたのですが、ほかのところではまだ通らない状態になっているので、「Windows上のIEやChromeだけで正当と判断される」状態になってしまっています(実際のサイト; 環境によってはSSLエラーになるので注意)。

投稿2016/10/12 12:46

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

km_beginner

2016/10/14 13:22

maisumakunさん、ご教示いただきありがとうございました!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問