Web サイトで証明書関連のリスクが警告された場合の対処方法
Alibaba Cloud CDN コンソールでドメインに SSL 証明書を設定しても、ブラウザに証明書関連の警告が表示されることがあります。以下のセクションでは、その主な原因と解決策について説明します。
証明書の有効期限切れ
症状:ブラウザに「お使いの接続はプライベートではありません」(Chrome)、「この接続は安全ではありません」(Firefox)、「この Web サイトのセキュリティ証明書の有効期限が切れています」(Edge) などのメッセージが表示されます。これは、証明書が有効期限を過ぎていることを示します。発行者に関係なく、ブラウザは有効期限切れの証明書を拒否します。
解決策:証明書を更新し、CDN コンソールで新しい証明書に更新します。
SSL Certificates Service を通じて証明書を購入した場合、詳細については「SSL 証明書の手動更新」をご参照ください。
更新後に CDN で証明書を更新する方法については、「SSL 証明書の設定」をご参照ください。
不正確なシステム時刻
症状:有効な証明書が、有効期限切れまたはまだ有効でないと表示されます。
証明書の検証では、現在の日付と証明書の有効期間が照合されます。ご利用のコンピューターの時計が大幅にずれている場合、ブラウザは有効な証明書を有効期限切れまたはまだ有効でないと見なすことがあります。
解決策:ご利用のコンピューターのシステム時刻と日付が正しいことを確認してから、再度 Web サイトにアクセスしてください。
自己署名証明書
症状:ブラウザに「NET::ERR_CERT_AUTHORITY_INVALID」(Chrome) または「SEC_ERROR_UNKNOWN_ISSUER」(Firefox) と表示されます。
自己署名証明書は、認証局 (CA) によって発行されたものではなく、自分で生成した証明書です。自己署名証明書は偽造される可能性があり、中間者 (MITM) 攻撃に対して脆弱であるため、ブラウザはデフォルトでこれを信頼しません。
解決策:自己署名証明書を、信頼できる CA が発行した証明書に置き換えてください。SSL Certificates Service を通じて SSL 証明書を購入できます。
混合コンテンツ (HTTPS ページ上の HTTP リソース)
症状:ブラウザのアドレスバーから南京錠アイコンが消えたり、ページは読み込まれるものの特定のリソースがブロックされたりします。ブラウザコンソールには、「Mixed Content: The page was loaded over HTTPS, but requested an insecure resource.」のような警告が表示されることがあります。
ページが HTTPS 経由で配信されているにもかかわらず、画像、スクリプト、スタイルシートなどのリソースが HTTP 経経由で読み込まれる場合、ブラウザはこれをセキュリティリスクとして警告します。
解決策:Web ページ内のすべての HTTP リソース URL を HTTPS に変更してください。影響を受けるリソースを特定するには、ブラウザの開発者ツール (F12) を開き、[コンソール] タブに移動して、特定の HTTP リソース URL をリストアップしている混合コンテンツの警告を探します。
古い TLS バージョン
症状:ブラウザに「ERR_SSL_VERSION_OR_CIPHER_MISMATCH」(Chrome) または「SSL_ERROR_NO_CYPHER_OVERLAP」(Firefox) と表示されます。
Transport Layer Security (TLS) には、SSLv2、SSLv3、TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3 の 6 つのプロトコルバージョンがあります。SSLv2、SSLv3、TLS 1.0、TLS 1.1 には既知の脆弱性があり、もはや安全とは見なされていません。一部のブラウザは、これらの古いバージョンを使用する接続を拒否します。
解決策:Alibaba Cloud CDN コンソールで、最小 TLS バージョンを TLS 1.2 または TLS 1.3 に設定してください。手順については、「TLS バージョン管理の設定」をご参照ください。
ご利用のドメインが現在ネゴシエートしている TLS バージョンを確認するには、次のコマンドを実行します。
openssl s_client -connect your-domain.com:443 -tls1_1接続が成功した場合、サーバーはまだ TLS 1.1 以前のバージョンを受け入れていることを意味します。CDN コンソールで TLS 設定を更新した後、再度コマンドを実行して、古いバージョンが拒否されることを確認してください。
脆弱な暗号スイート
症状:セキュリティスキャナーやブラウザが、接続に不十分な暗号化が使用されていると警告します。
暗号化強度が不十分な暗号スイートは、送信中のデータを漏洩させる可能性があります。
解決策:暗号化には 128 ビットの Galois/Counter Mode (GCM) を用いた高度暗号化標準 (AES) (AES-GCM) を、鍵交換メカニズムには ECDHE_RSA を使用してください。