【スポンサーリンク】

SSL証明書の期限が切れていた(cPanelのAutoSSL)

SSL証明書の期限が切れていた(cPanelのAutoSSL)
2024.01.07
  • サイトにアクセスしたら、「この接続ではプライバシーが保護されません」と表示されました。
    SSL証明書がいつの間にか期限切れになっていたようです。
  • cPanelの「AutoSSL」で自動更新される仕組みだったのですが、なぜか動作してなかったのです。
  • 「SSL/TLS」で「デフォルトの SSL/TLS キータイプ」を設定し直すと、自動更新が開始されました。
  • ただし、SSL証明書の更新が完了するのには、約3時間ほどがかかりました。
\記事が役に立ったらシェアしてね/
  1. 【結論】無事にSSL証明書を更新できた
    1. SSL証明書が期限切れ(NET::ERR_CERT_DATE_INVALID)
    2. セキュリティ証明書の情報を確認する
    3. cPanel Inc. Certification Authority
  2. cPanelのSSL/TLS管理
    1. 「AutoSSL」とは?
    2. AutoSSLプロバイダー
  3. AutoSSL is in progress
    1. AutoSSLのエラー
キーワード

キーワード:#SSL(15)#セキュリティ証明書(14)#cPanel(13)#mixhost(12)#SSL/TLS(9)#セキュリティ保護(7)#SSL証明書(5)

【スポンサーリンク】

1. 【結論】無事にSSL証明書を更新できた

結論としては、SSL証明書の更新切れに気づいたのが 9時ごろで、なんとか13時ごろには更新が完了しました。

【結論】無事にSSL証明書を更新できた

比較的 早く復旧できたものの約4時間ほどの間は、chiilabo.comにアクセスした人にこの警告メッセージが表示されたことになります。

【結論】無事にSSL証明書を更新できた

よくわからないとサイトが乗っ取られたのかと思うよね。

「安全でないサイト」と「危険なサイト」との違い(Chromeの警告画面)
「安全でないサイト」と「危険なサイト」との違い(Chromeの警告画面)
Chromeによるサイトの警告には、大きく分けて2種類あります。「安全でないサイト」と「危険なサイト」です。 「安全でないサイト」は、そのサイトとの通信が暗号化されていないので、途中のやり取りが傍受される危険性があることを注意喚起しています。 一方、「危険なサイト」は、そのサイト自体が「利用者を騙して情報を盗み取ろうとしている」と通報されていることを意味しています。 Chromeで説明していますが、ほかのブラウザでも基本的な考え方は同じです。 サイトにアクセスしようとしたら…...
chiilabo.com
目次に戻る

1-1. SSL証明書が期限切れ(NET::ERR_CERT_DATE_INVALID)

何気なくスマートフォンからウェブサイト(chiilabo.com)にアクセスしたら、「この接続ではプライバシーが保護されません」と表示されました。

SSL証明書が期限切れ(NET::ERR_CERT_DATE_INVALID)

この画面は、Chromeブラウザによる表示で、ウェブサイトにアクセスする前に警告しています。

今回のエラーは「NET::ERR_CERT_DATE_INVALID」というコードで、「SSL証明書が有効期限切れになっていること」を意味していました1

SSL証明書が期限切れ(NET::ERR_CERT_DATE_INVALID)

この接続ではプライバシーが保護されません
chilabo.com では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。[詳細]
NET::ERR_CERT_DATE_INVALID

SSL証明書には有効期限があり、定期的な更新が必要です。
それがうまくいっていなかったのです。

警告メッセージはありますが、「詳細設定」から「〜にアクセスする(安全ではありません)」を選択すると、無視してサイトを閲覧できます。

このサーバーが chilabo.com であることを確認できませんでした。セキュリティ証明書の期限が昨日で切れています。原因として、設定が不適切であるか、悪意のあるユーザーが接続を妨害していることが考えられます。パソコンの時計は現在2024年1月7日日曜日に設定されています。この時刻が正しくない場合は、システムの時計を修正して、このページを更新してください。
[chilabo.com にアクセスする(安全ではありません)]

「プライバシーが保護されない」リスク

SSL証明書が失効すると、サイトと利用者の間の通信が暗号化できなくなります。
ただし、サイトを閲覧するだけなら ほとんど問題ありません
「パスワードやメッセージ、クレジットカード情報などを送信すると傍受のリスクがある」という意味なのです。

目次に戻る

1-2. セキュリティ証明書の情報を確認する

Chromeでは、サイトのセキュリティ保護に不備があると、アドレスバーの左に赤い「×」印が表示されます。
ここを押すと、「詳細」→「証明書情報」からセキュリティ証明書を確認できます。

セキュリティ証明書の情報を確認する

確かに、有効期限が「2024-01-07」までになっています。

セキュリティ証明書の情報を確認する

調査日は日本時間で「2024年1月7日9時ごろ」だから当日のはずなんだけど、システム的には「昨日」扱いなんだね。

セキュリティ証明書の情報を確認する

日本語訳では「有効期限」ですが、 英語では「expires(期限切れ)」なので、有効なのはこの前日までなんですよね。

目次に戻る

1-3. cPanel Inc. Certification Authority

ちなみに、セキュリティ証明書の発行元が「cPanel Inc. Certification Authority」というのも重要です。

SSLサーバ証明書はどこに保存されているの?(証明書ストア)
SSLサーバ証明書はどこに保存されているの?(証明書ストア)

つまり、SSL証明書は、cPanel Inc. によって取得しているのです。
したがって、更新も cPanel の画面から手続きすればよいことになります。

cPanel Inc. Certification Authority

サイトの運営では、サーバ、ドメイン、セキュリティ証明書と、いろんな手続きをしているので、どこが管轄なのかわかりにくいんだよね。

目次に戻る

2. cPanelのSSL/TLS管理

当サイトのレンタルサーバでは、管理画面に cPanel を採用しています。
セキュリティ証明書の管理もそこからしています。
SSL証明書を更新することにしました。

cPanel のメニューには、「セキュリティ」のグループに「SSL/TLS」と「SSL/TLSステータス」の項目があります。

cPanelのSSL/TLS管理
  • 「SSL/TLS」は、より基本的なSSL証明書の管理
  • 「SSL/TLSステータス」では、AutoSSL機能の操作
cPanelのSSL/TLS管理

「SSL/TLS」でデフォルトのキータイプを「保存」したタイミングで「システムは、デフォルトのSSL/TLSキータイプを更新しました。AutoSSLが証明書の更新を試みます。」というメッセージが表示されました。

cPanelのSSL/TLS管理

「SSL/TLS ステータス」をみると、「AutoSSLは進行中です…」と表示されています。

cPanelのSSL/TLS管理

このまましばらく画面が変わらず不安だったのですが、とりあえず待つことにしました。
改めて3時間後にサイトを見てみてみると、無事にSSL証明書の期限が2024年4月6日まで延長できていました。

cPanelのSSL/TLS管理
cPanelのSSL/TLS管理

SSL/TLSキータイプの保存が関係していたのかは判別できませんでしたが、これで AutoSSL が動作するようになりました。

目次に戻る

2-1. 「AutoSSL」とは?

「AutoSSL」とは?

SSL証明書の取得って面倒なイメージだけど、ボタン一つでできちゃうの?

AutoSSL」は、ドメイン検証済み SSL 証明書をユーザーのドメインに自動的にインストール・更新する機能です。
SSLの管理を自動化するために、Apache、Dovecot、Exim、Web Disk、cPanel Server サービスに追加されている機能です2

AutoSSL を有効にすると、ウェブサイトは無料のドメイン検証済み SSL 証明書で自動的に保護されます。

さらに便利な点は、有効期限が切れると新しい無料の SSL を要求して、自動的にインストールしてくれることです3
AutoSSL は、サーバにcron ジョブ ( /etc/cron.d/cpanel_autossl ) が追加して、自動処理を実行しています。

本来は、何もしないでも自動更新なのですが、たまに失敗することもあるようです。

私の SSL 証明書は昨日期限切れになりました (cpanel 経由で完了しました)。通常は「autoSSL」を通じて更新されますが、今回は更新されません。警告のせいで人々は私のサイトにアクセスせず、私は売上を上げていません。

AutoSSL は証明書を自動更新しなくなりました: r/cpanel
目次に戻る

2-2. AutoSSLプロバイダー

AutoSSLプロバイダー

どこからSSL証明書は取得しているの?

AutoSSLでは、AutoSSLプロバイダーを設定します。
設定した認証局(CA)にSSL証明書を発行してもらうわけです4

  • cPanel (Sectigo 提供) プロバイダー
  • Let’s Encrypt プロバイダー

cPanel では、デフォルトで「cPanel (Sectigo 提供)プロバイダー」を使用します。

mixhostでは、SSL証明書世界シェアNo.1のSectigo(旧名:COMODO)を認証局に採用した独自SSLを無料でご利用いただけます。

無料独自SSLのご利用方法 – mixhost ヘルプ&サポート
どちらの認証局がよい?

海外の情報では「認証局は Let’s Encryptの方がよい」という意見もありましたが、「Sectigo でも問題ない」という意見もあります。

意見A)cPanel Sectigo CA または Let’s Encrypt を使用していますか? Let’s Encrypt に切り替えることをお勧めします。cPanel CA の制限が低すぎるため、ほとんどのサイトが更新に失敗する原因になっていることがわかりました。切り替えたら問題はなくなりました。

意見B)Sectigo はレート制限に問題を抱えていますが、cPanel はそれについて何もしません。cPanel フォーラムには、人々が助けを求めるスレッドがほとんどありません。

AutoSSL は証明書を自動更新しなくなりました: r/cpanel

ただし、私が契約している mixhost では AutoSSLプロバイダーを変更するための cPanelのWeb Host Manager が提供されていないので、デフォルトのままです。

目次に戻る

3. AutoSSL is in progress

AutoSSLを実行すると、SSL証明書を取得・インストールする自動処理が始まります。
通常は 30分ほどで AutoSSLプロバイダーからSSL証明書を発行されるようです5
ただし、 24〜72時間ほどの時間がかかることもあるようです。6

AutoSSL is in progress

今回は、3時間後に確認してみたら完了していました。

目次に戻る

3-1. AutoSSLのエラー

ある程度 時間がかかるのは仕方がないのですが、なかなか「AutoSSL が進行中…」のまま進まずヤキモキしました。

AutoSSLのエラー

とりあえず、待つしかないのですが、エラーになることもあるようです。

これまでに、認証局でのドメイン検証の不具合で、SSL発行が進まないことがありました。

48 時間以上前に期限切れになった 4 つのドメイン (合計 31 のサブドメイン) で問題が発生しています。AutoSSL では、更新要求がまだ保留中として AutoSSL 保留キューにリストされています。
私の質問は次のとおりです。このキューをパージして新しいリクエストを再度開始する方法はありますか?

(…)

リクエストをキャンセルする方法はないようです。これは、AutoSSL リクエストが cPanel ストアによって処理されるために送信されることが原因であると考えられます。その場合、Comodo が証明書を発行するのを待たなければなりません。

まだ保留中の場合は、キューベースのシステムが使用されており、cPanel スレッドから読み取った情報から、処理が遅れている可能性があります。これは、保留中の証明書が発行されるまでにかかる時間に影響する可能性があります。

(…)

この問題は、cPanel の AutoSSL のバグであることが判明しました。
内部ケース番号: CPANEL-13344 は、開発チームが調査して修正するために割り当てられました。
何らかの理由で、AutoSSL では Comodo がサブドメインを検証できないという問題が発生していました。これにより、SSL 注文は保留状態のままになり、7 日後に取り消されます。次回のチェックイン時にスケジュールを変更するだけです。

(…)

KH のいつも素晴らしいサポート スタッフと協力して、上記で DarkSorrow で参照した LetsEncrypt プラグインをインストールしたところ、証明書がすぐに発行されたことをお知らせします。

AutoSSL 証明書の更新は、期限切れから 48 時間以上経過しても保留中です。 KnownHost(2017-05-24)
続きはこちらから。
[cPanel]SSL証明書を変更してみた
cPanelでは取得したSSL証明書はサーバ内にストックされています。 必要はありませんが、過去の証明書に変更することも可能です。 SSL証明書を変更する 前回は、SSL証明書が失効してしまい、AutoSSLで更新しました。失効したSSL証明書に戻してみると、どうなるのか試してみました。 「逆操作」をやってみるんだね。
chiilabo.com
こちらもどうぞ。
WordPressサイトはどうやってできているの?【3つのログイン】
WordPressサイトはどうやってできているの?【3つのログイン】
WordPressに興味があるのですが、どんなものなのですか? なんとなく、エディタでHTMLを作成するのと、ブログサービスに登録することの中間みたいな印象はあるのですが……。 3つのログインページ WordPressサイトの成り立ちを知るには、WordPressサイトを管理するための3つのログイン画面を知ることが近道です。 レンタルサーバー企業の会員ページ 借りたサーバーの管理ページ WordPressの管理ページ レンタルサーバの契約 WordPressサイトを作るには、...
chiilabo.com
SSLサーバ証明書はどこに保存されているの?(証明書ストア)
SSLサーバ証明書はどこに保存されているの?(証明書ストア)
SSLサーバ証明書は、(基本的に)ウェブサーバ内の「証明書ストア」に保存されている暗号化されたファイルです。 サイトにアクセスがあると相手に提示して、通信内容が正しいことを証明するのに使われます。 YouTube動画でも話しています。 サイトがSSLサーバ証明書を取得する流れ お店のホームページを作っています。サイトの「セキュリティ保護」ができていないようなのですが、そもそもセキュリティ証明書の仕組みがよくわかりません。 どんな情報をどこに記載されていると、「セキュリティ保護...
chiilabo.com
[iPhone]「接続はプライベートではありません」は危険なの?(維持されていないサイトの場合)
[iPhone]「接続はプライベートではありません」は危険なの?(維持されていないサイトの場合)
ブラウザの警告が表示されてすぐに戻れば、危険はありません。また、この警告は偽サイトだけでなく、「老朽化」したサイトでもしばしば表示されます。
chiilabo.com

(参考)

(補足)

  1. NET::ERR_CERT_DATE_INVALID」は Chromeでのエラーコードです。
  2. What is AutoSSL? – cPanel
  3. cPanel と WHM の AutoSSL | cPanel ブログ
  4. Manage AutoSSL | cPanel & WHM Documentation
  5. 通常30分以内にSSL証明書がインストールされますので、少しお待ちいただいてから再度WordPressにアクセスしてください。 – SSL証明書を手動で発行する方法 – mixhost ヘルプ&サポート
  6. 無料独自SSLの準備には、ドメインの追加、及びネームサーバー変更後 24〜72時間程度のお時間が必要となります – 無料独自SSLのトラブルシューティング – mixhost ヘルプ&サポート
目次に戻る
QRコードを読み込むと、関連記事を確認できます。

SSL証明書の期限が切れていた(cPanelのAutoSSL)
【スポンサーリンク】
【スポンサーリンク】
タイトルとURLをコピーしました