Q&A
前提
-
HTTPSの証明書チェーンに関する問題に直面したため,根本原因を特定しようとしています.
-
サーバー証明書を更新したところ,ブラウザによって動作が異なることに気づきました.
-
Microsoft Edgeでは
- 証明書チェーンがルートCAまで完全に表示され,HTTPSは正常に動作します.
-
ChromeとSafariでは
- 証明書関連のエラーが発生し,HTTPSが失敗します.
- 証明書チェーンを確認すると,チェーンは中間CAで途切れており,ルートCAは表示されません.
-
また,いづれもプライベートモードおよびシークレットモードを使用してテストしました.
-
この問題は,証明書の更新直後に発生しました.
Edgeはチェーンの構築に成功しているようですが,ChromeやSafariでは成功していないようです.
現在は,ブラウザによって自動的にチェーンを補完,完成させる機能があり,その差によって挙動が変わっているのではないかと推測しています.
追記
- クロスルート証明書を取得して,サーバー証明書→中間CA証明書→クロスルート証明書の順でチェーンを組んで配置すると,エラーは解決して,どのブラウザでも表示されるようになりました!!
SSLCertificateFile /etc/pki/tls/certs/server.crt(サーバ証明書と中間CA証明書とルート証明書を連結した証明書) SSLCertificateKeyFile /etc/pki/tls/private/server.key(秘密鍵)
- エラーは解決したんですが,やはりなぜあのような挙動の違いが発生したのか気になります...
補足情報
- 対象のwebサーバー:apache2.4.58
- windows11
回答1件
0
ベストアンサー
まず、ブラウザーがルート認証局として証明書を信頼できる判断しているかを知る必要があります。通常、ブラウザーはルート認証局として信頼できるかどうかは、次のストア(証明書の一覧)にあるかどうかで判断します。
- ブラウザーが持っている信頼済みルート認証局の証明書ストア
- OSが持っている信頼済みルート認証局の証明書ストア
ブラウザーによって、必ず両方とも見に行く場合、オプションでOS側は見に行かないとできる(ただし、デフォルトはOS側も見に行く)場合、そもそも1.はなくて2.だけの場合等の差異がありますが、最も大きいのは1.の内容がブラウザーによって違うということです。そのため、同じOS上であっても、ブラウザーによって信頼される、信頼されないという違いが出る場合があります。(なお、OS側にもユーザー単位とコンピューター単位に分かれている場合がありますが、独自のルート認証局を入れるなどがない限り、気にする必要はありません。)
今回はこの現象が起きたと推測されます。クロスルート証明書を加えると解決したのは、クロスルート証明書の発行元の認証局がOS側で信頼されていたので、ブラウザーに関係なく信頼されるようになったと考えられます。
以下、この現象についての補足です。
- 同じMicrosoft製であっても、WindowsとEdgeでは組み込みの信頼済みルート認証局は異なります。ですので、Windowsでは信頼されないので、Edgeでは信頼されるというのは普通にありえます。
- 通常、クロスルート証明書は、発行された証明書の発行元情報にそのURLがないため、自動取得することができません。Chromeなどは中間証明書がなくても発行元の情報で自動取得しますが、クロスルート証明書ではこの機能が働きません。
- 昔検証したときの話なので記憶が曖昧ですが、Firefoxは取得できないはずのクロスルート証明書をどこからともなく取ってきて、信頼するという動きをしたはずです。どちらにしても、クロスルート証明書を入れておけば問題ありませんが。
- この現象が発生するルート認証局として「SECOM TLS RSA Root CA 2024」があります。この認証局は、Windowsにはないですが、Edgeにはあります。クロスルート証明書の発行元である「Security Communication RootCA2」はWindowsやMac等の主要なOS及びブラウザーには含まれるため、クロスルート証明書付きの場合は、どのブラウザーでも問題ないという動作になっています。
投稿2026/05/14 13:38
総合スコア21864
あなたの回答
tips
プレビュー
2026/05/15 05:07