「権限のある SSL/TLS セキュア チャネルの信頼関係を確立できませんでした」エラーを解決する方法
公開: 2024-03-13「権限のある SSL/TLS セキュア チャネルの信頼関係を確立できませんでした」というメッセージが表示された場合は、クライアント アプリケーションとサーバーの間のセキュアな通信チャネルに問題があることを示しています。 この問題は、インターネット上の安全なデータ交換の根幹である SSL/TLS プロトコルに深く根ざしています。 SSL (Secure Socket Layer) と TLS (Transport Layer Security) は、コンピュータ ネットワーク上で通信セキュリティを提供するために設計された暗号化プロトコルです。
この問題は通常、クライアント アプリケーションがサーバーから提示された SSL/TLS 証明書を信頼しない場合に発生します。 これには、証明書が自己署名されている、期限切れである、または信頼できる認証局 (CA) によって発行されていないなど、いくつかの理由が考えられます。 この問題の複雑さを理解するには、安全な接続が確立される仕組みと、このプロセスにおける証明書の役割を理解する必要があります。 証明書はデジタルパスポートとして機能し、クライアントに対してサーバーの身元を証明し、通信しているエンティティが本当に本人であることを確認します。
SSL と TLS について
SSL (Secure Sockets Layer) と TLS (Transport Layer Security) は、オンライン通信を保護するための基盤として機能します。 データを暗号化して接続を認証し、ユーザーのブラウザと Web サイトのサーバー間の送信中に個人情報や支払いの詳細などの機密情報が機密に保たれるようにします。 共通の目標にもかかわらず、SSL と TLS の違いを認識することが重要です。 特に、TLS は SSL の更新されたより安全なバージョンであり、以前の SSL プロトコルで見つかった脆弱性に対処するように設計されています。
Web サイトのセキュリティのための SSL/TLS の必要性は、どれだけ強調してもしすぎることはありません。 このプロセスは、ユーザーがサイトにアクセスしようとすると始まります。 ブラウザはまず SSL 証明書の有効性を検証します。 検証後、暗号化された接続が確立され、潜在的な盗聴や改ざんからデータ交換が保護されます。
さまざまなタイプの SSL 証明書がさまざまなニーズに合わせて調整されています。
単一ドメイン証明書: 1 つの Web サイトを保護するのに最適で、個々のサイトに簡単なソリューションを提供します。
ワイルドカード証明書: ステップアップとして、これらの証明書は単一ドメインとそのサブドメインを保護し、1 つのメイン ドメインで複数のサービス フロントを運用する企業に柔軟なソリューションを提供します。
マルチドメイン ワイルドカード証明書: 最も汎用性の高いオプションで、複数の Web サイトとサブドメインを持つ組織に最適です。このタイプでは、ドメインごとに個別の証明書が必要なくなり、管理と展開が簡素化されます。
高品質のホスティング プロバイダーは、SSL/TLS の重要性を認識しており、ホスティング プランの一部として無料の SSL 証明書を含めていることがよくあります。 これにより、安全な Web ホスティングへの参入障壁が取り除かれ、Web サイト所有者が HTTPS を採用しやすくなります。 たとえば、10Web のようなプロバイダーは、Let's Encrypt から無料の SSL 証明書を提供し、Cloudflare 統合を活用しています。 このようなホスティング パッケージには、強化されたセキュリティ対策、速度が最適化されたインフラストラクチャ、高度なパフォーマンス監視ツールなどの追加の利点が伴います。
特定の要件がある場合、または別の認証局を希望する場合は、Comodo や DigiCert などの信頼できる機関からカスタム SSL 証明書を購入することも実行可能な方法です。 ソースに関係なく、取得後の重要な手順には、SSL 証明書をサーバーに適切にインストールし、サイトの安全な状態を維持するために正しく機能することを確認することが含まれます。
本質的に、SSL/TLS を Web サイトのセキュリティ プロトコルに統合することは、単なるベスト プラクティスではなく、今日のデジタル環境における基本的な要件です。 ユーザーのデータを保護するだけでなく、訪問者と検索エンジンの両方の目から見たサイトの信頼性と信頼性も高めます。 ホスティング プロバイダーの無料 SSL の利便性を選択するか、購入した証明書のカスタマイズ性を選択するかにかかわらず、重要なのは、継続的なセキュリティとパフォーマンスを確保するための入念なインストールとメンテナンスです。
問題のバリエーション
この SSL/TLS 信頼関係の問題は、Web ブラウザ、電子メール クライアント、API 接続、インターネット上の安全な接続に依存するソフトウェアなど、さまざまな環境やプラットフォームで現れる可能性があります。 エラー メッセージは状況や使用しているソフトウェアによって若干異なる場合がありますが、本質は同じです。 一般的なバリエーションには次のようなものがあります。
- 基礎となる接続が閉じられました: SSL/TLS セキュア チャネルの信頼関係を確立できませんでした。
- ワークステーションとプライマリ ドメイン間の信頼関係が失敗しました。
- エラー: 権限 '[権限名]' との SSL/TLS セキュア チャネルの信頼関係を確立できませんでした。
- SSL 証明書の問題: ローカル発行者の証明書を取得できません。
- リクエストは中止されました: SSL/TLS セキュア チャネルを作成できませんでした。
このエラーが発生する理由
有効期限が切れた SSL/TLS 証明書: パスポートと同じように、SSL/TLS 証明書にも有効期限があります。 証明書の有効期限が切れている場合、クライアントはサーバーとの安全な接続の確立を拒否します。
自己署名証明書: 開発目的で、サーバーは自己署名証明書を使用することがよくあります。ただし、これらは信頼ストアに明示的に追加しない限り、クライアント アプリケーションによって信頼されず、このエラーが発生します。
ドメイン名が一致しない: 証明書のドメイン名は、アクセスされるドメイン名と一致する必要があります。矛盾がある場合、クライアントは接続に信頼できないというフラグを立てます。
証明書が信頼できる機関によって発行されていない: ブラウザーとクライアント アプリケーションには、信頼できる CA の事前定義されたリストがあります。サーバーの証明書がこれらの機関のいずれかによって発行されていない場合、クライアントは信頼された接続を確立できません。
中間証明書がありません: サーバーが完全な信頼チェーンを提供できず、中間証明書が欠落している場合があります。フルパスを検証できないクライアントは接続を拒否します。
信頼関係を確立できませんでしたエラーの解決
「権限のある SSL/TLS セキュア チャネルの信頼関係を確立できませんでした」エラーの背後にある一般的な理由を調べたので、これに対処して解決するための戦略を詳しく掘り下げてみましょう。
エラー原因の特定
まず、エラーの根本原因を特定することが重要です。 これを行う方法は、Web サイトにアクセスしているブラウザーによって異なります。
サファリ
- エラーが発生した場合は、「詳細を表示」ボタンをクリックしてください。 このアクションにより、セキュリティ警告に関する詳細情報が明らかになります。
- Web サイトの証明書を表示する場合に選択します。 このレビューにより、サイトの証明書の有効期限が切れているか、サードパーティによる検証がないためデフォルトでは信頼されていない自己署名証明書が使用されていることが判明する可能性があります。
クロム
- 問題の概要を把握するには、アドレス バーの Web サイトの URL の横にある「安全ではありません」という警告をクリックします。
- 詳細については、「証明書が無効です」をクリックすると、発行日、有効期限、および認証局 (CA) などの証明書の詳細を示すポップアップが開きます。
根本原因を特定したら、次の解決策に進むことができます。
信頼できる証明書を更新またはインストールする
- 問題の原因が自己署名証明書である場合は、認識された CA が発行した証明書に置き換えることを検討してください。 これによりブラウザの信頼が確保され、データ転送が安全になります。
- 信頼の問題を避けるために、証明書の有効期限が切れる前に証明書を更新してください。 予期しないエラーを防ぐために、証明書の有効性を定期的に確認してください。
ブラウザのセキュリティ設定を調整する
ブラウザのセキュリティ設定に移動します。 毎日の閲覧には推奨されませんが、一時的にセキュリティ設定を下げてエラーを回避することもできます。 ただし、未検証の証明書を受け入れることに伴うリスクを必ず理解してください。
一般的なトラブルシューティング
正しい日付と時刻の設定
最も単純だが重要なチェックの 1 つは、デバイスの日付と時刻の設定が正確であることを確認することです。 設定が正しくないと、証明書の有効期限が切れているのにシステムが期限切れと判断する可能性があるため、SSL 証明書の検証が失敗する可能性があります。
マック
「システム環境設定 > 日付と時刻」に移動します。 変更が必要な場合は、下部にある鍵アイコンをクリックして調整します。 時刻を自動的に設定することも、手動で時刻が正しいことを確認することもできます。
システムとブラウザのアップデート
古いソフトウェアはセキュリティ上のリスクがあるだけでなく、SSL/TLS 証明書との互換性の問題を引き起こす可能性があります。 オペレーティング システムとブラウザが最新であることを確認することが重要です。
macOSのアップデート
- [システム環境設定] > [ソフトウェア アップデート] に移動します。
- アップデートが利用可能な場合は、プロンプトに従ってダウンロードしてインストールします。
Google Chromeのアップデート
- Chrome では、右上にある 3 つの点をクリックしてメニューを開きます。
- ヘルプの上にマウスを移動し、「Google Chrome について」を選択します。
- Chrome は自動的にアップデートをチェックします。 更新が見つかった場合は、指示に従ってインストールし、ブラウザを再起動します。
これらの手順はほとんどのブラウザで同様ですが、正確なナビゲーションは異なる場合があります。 不必要な問題を避けるために、常に最新バージョンのソフトウェアを実行していることを確認してください。
これらの手順が重要な理由
日付と時刻の精度: SSL/TLS 証明書には特定の有効期間があります。システムのクロックが正しく設定されていない場合、証明書がまだ有効ではない、または期限切れであることを示すエラーが誤って発生する可能性があります。
ソフトウェア アップデート: アップデートには、セキュリティ パッチや既知の問題の修正が含まれることがよくあります。最新バージョンの OS とブラウザを実行すると、すでに解決された脆弱性や互換性の問題が原因でエラーが発生することがなくなります。
エラーごとの解決策
エラーのトラブルシューティング方法は、エラーの原因として特定された内容によって異なります。 ここでは、一般的な原因に基づいた解決策をいくつか紹介します。
名前の不一致
SSL 証明書の共通名がアクセスしようとしているドメインと一致しない場合、ブラウザは正しい認証情報がなければアクセスできません。 この不一致はよくある問題ですが、ありがたいことに簡単に修正できます。
SSL 証明書の共通名 (CN) はその ID として機能し、接続先の Web サイトが実際にその Web サイトであることをブラウザに伝えます。 不一致がある場合、たとえば、証明書はwww.example.com用であるが、 example.comにアクセスしようとしている場合、ブラウザは赤いフラグを立て、「信頼関係を確立できませんでした」エラーが発生します。
この問題は、「www」プレフィックスが原因で発生することがよくあります。 多くのユーザーは Web アドレスを入力するときにこれを含めない可能性があるため、Web サイトの SSL 証明書が両方を認識することが重要です。
SSL 証明書をドメインに合わせる
単一ドメイン
証明書がドメインの特定の 1 つのバージョン (「www」の有無にかかわらず) に対してのみ有効な場合は、次のことを行う必要があります。
- まず、証明書の詳細を確認して不一致を確認します。 ほとんどのブラウザでは、URL の横にある南京錠のアイコンをクリックすると証明書を表示できます。詳細または証明書パスのセクションに共通名が表示されます。
- 認証局 (CA) または SSL プロバイダーに問い合わせて、ユーザーが使用する可能性が最も高いドメイン名と一致する新しい証明書を発行してください。 理想的には、すべてのベースをカバーするために、ドメインの「www」と非 www バージョンの両方をカバーする証明書を選択します。
マルチドメイン
マルチドメイン証明書の柔軟性がある場合は、この問題に迅速に対処できる有利な立場にあります。
サブジェクト代替名 (SAN) を使用すると、証明書を複数のドメイン名に対して有効にすることができます。 SSL プロバイダーのコントロール パネルから SAN を調整するか、SSL プロバイダーに直接連絡してサポートを求めることにより、ドメインの「www」バージョンを追加 (または削除) できます。
有効期限が切れたSSL証明書
期限切れの SSL 証明書を使用すると、信頼性が危険にさらされるだけでなく、訪問者がデータ盗難などの不正行為にさらされる可能性があります。 新しい証明書を使用してサイトを保護するプロセスを詳しく見てみましょう。
有効なSSL証明書のインストール
SSL 証明書を速やかに更新することは、Web サイトとそのユーザー間の安全な接続を維持するために最も重要です。 その方法は次のとおりです。
- 元の証明書を発行した CA に問い合わせてください。 ほとんどの CA は有効期限が近づくと更新通知を送信しますが、まだ更新通知が届いていない場合は、率先して直接 CA に連絡してください。
- 証明書を更新する前に、サーバーから新しい CSR を生成する必要がある場合があります。 このプロセスはホスティング環境によって異なるため、具体的な手順についてはホスティング プロバイダーまたはサーバーのドキュメントを参照してください。
- CSR を取得したら、CA に送信します。 CSR 内の情報を使用して、Web サイト用の新しい SSL 証明書が作成されます。
- CA が新しい証明書を発行したら、それをサーバーにインストールする必要があります。 繰り返しになりますが、正確な手順はホスティングの設定によって異なるため、プロバイダーのガイドラインを参照するか、サポート チームに支援を求めてください。
すべてがうまくいっていると単純に思い込まないでください。 新しい証明書が正しくインストールされていることを確認します。 SSL Labs の SSL テストのようなツールは、サイトが安全であり、SSL が期待どおりに機能していることを確認するのに役立ちます。
将来の更新のリマインダーを設定する
SSL 証明書の更新を忘れると、不必要なダウンタイムやセキュリティ リスクが発生する可能性があります。 これを回避する方法は次のとおりです。
- 基本的なことのように思えるかもしれませんが、カレンダーのリマインダーを設定することは、更新日を忘れないようにする効果的な方法です。 実際の有効期限が切れる数週間から 1 か月前にリマインダーを設定して、行動するのに十分な時間を与えます。
- CA によっては、SSL 証明書の自動更新を設定できる場合があります。 このサービスは更新プロセスを自動化し、手動介入なしで証明書を常に最新の状態に保ちます。
- SSL の有効性を特に監視し、証明書の有効期限が近づくと警告を発する監視ツールを使用します。 一部の Web ホスティング プロバイダーは、これをサービス パッケージの一部として提供しています。
最新の SSL 証明書は、特定の種類のサイバー脅威に対する防御の第一線となります。 サーバーと訪問者のブラウザ間で送信されるデータを暗号化し、機密情報を傍受から保護します。 さらに、証明書の有効期限が切れたサイトに対してブラウザにセキュリティ警告が表示されるため、サイトの信頼性が強化され、訪問者が阻止され評判が損なわれる可能性があります。
定期的な監視と積極的な更新戦略は、Web サイトのセキュリティ インフラストラクチャのこの重要な側面を維持するための鍵となります。
信頼できるストアに証明書を追加する
信頼できない認証局 (CA) が原因でブラウザーがセキュリティ警告にフラグを立てた場合、特に CA が安全であることがわかっている環境 (内部ネットワークなど) では、証明書を信頼できるストアに追加することが一般的な回避策です。 Mac ユーザーと Windows 環境の両方の Safari でこれを行う方法を見てみましょう。
Mac の Safari ユーザー
個々の証明書の場合:
- 信頼性の問題の原因となっている Web サイトに移動し、URL の横にある南京錠アイコン (または同様のセキュリティ インジケータ) をクリックし、[証明書を表示] を選択します。
- 証明書情報ウィンドウで、「信頼」セクションを展開します。 ここには、「この証明書を使用するとき」のドロップダウン メニューがあります。 「常に信頼する」に設定します。
すべての証明書の場合:
- 証明書ポップアップの疑問符または「ヘルプ」アイコンを使用してキーチェーン アクセスを直接起動するか、アプリケーション > ユーティリティからキーチェーン アクセスを手動で開きます。
- キーチェーン アクセスの [システム ルート] で、[証明書] セクションを見つけます。 ここで、インストールされているすべての証明書を確認できます。
- 問題の証明書を見つけて右クリックし、「情報を見る」を選択します。 この情報ウィンドウの信頼セクション内で、設定を「常に信頼」に変更できます。
Windowsユーザー
- Windows キーをクリックし、検索バーに「mmc」と入力してコンソールを開きます。
- [ファイル] > [スナップインの追加と削除] に移動し、[証明書] を選択して、[追加] をクリックします。 「コンピュータ アカウント」を選択し、次に「ローカル コンピュータ」を選択し、「OK」で終了します。
- 「信頼されたルート証明機関」に移動します。 右クリックして「すべてのタスク」を選択し、「インポート」を選択します。 証明書インポート ウィザードの指示に従って、証明書ファイルを選択してインポートします。
- ウィザードの指示に従って、証明書を見つけてインポートします。 アクションを確認し、MMC を閉じます。 変更を有効にするには、ブラウザまたはコンピュータを再起動する必要がある場合があります。
信頼設定を調整したり、信頼されたストアに証明書をインポートしたりすることは、セキュリティ警告とアクセス制御を管理する強力な方法です。 ただし、慎重に進めることが重要です。
- 絶対に信頼できる CA または Web サイトに対してのみ、信頼設定を調整したり、証明書を追加したりしてください。 信頼を誤ると、セキュリティの脆弱性にさらされる可能性があります。
- この方法は、主に内部ネットワークまたは開発環境に対して慎重に使用してください。 公開サイトの場合は、よく知られた信頼できる CA によって証明書が発行されていることを確認してください。
自己署名証明書は諸刃の剣のようなものになる可能性があります。 これらは、サーバーとユーザーの間で送信されるデータを暗号化するための迅速かつコストのかからない方法を提供し、開発やテストなどの特定のシナリオにとって魅力的なオプションとなります。 ただし、信頼とセキュリティが最優先されるより広範なインターネットの世界に足を踏み入れると、その欠点が明らかになります。
自己署名証明書
自己署名証明書は本質的に、信頼できる認証局 (CA) ではなく、それを作成した個人または組織によって署名された証明書です。 これは、暗号化を提供できますが、ブラウザーとユーザーが接続のセキュリティを信頼するために依存するサードパーティによる検証が欠けていることを意味します。
主要なブラウザとオペレーティング システムは、認定された CA の証明書を信頼します。これは、これらの認証局が厳格な検証プロセスを行っているためです。 自己署名証明書はそのような精査を受けていないため、ブラウザーは接続のセキュリティについてユーザーに警告することになり、訪問者を阻止し、サイトの信頼性を損なう可能性があります。
自己署名証明書が侵害された場合 (秘密キーの漏洩など)、それを取り消す方法はありません。 一方、信頼された CA は、失効した証明書 (CRL および OCSP を使用) のリストを維持し、ブラウザーが証明書のステータスをリアルタイムで確認し、侵害される可能性のある接続をブロックできるようにします。
CA 署名付き証明書への移行
公開 Web サイトの場合、信頼性とセキュリティを確立するために CA 署名証明書に移行することが重要です。 切り替え方法は次のとおりです。
- 信頼できる CA を調査して選択します。 Let's Encrypt など、証明書を無料で提供する CA も含め、信頼できる CA がいくつかあります。
- このリクエストには、公開キーと組織に関する詳細が含まれています。 通常、Web サーバー ソフトウェアは CSR を生成できます。
- CA を選択したら、CSR を CA に送信する必要があります。 CA は、申請している証明書の種類 (DV、OV、または EV) に応じて、ドメインと、場合によってはその他の組織情報を検証します。
- CA が証明書を発行した後、それを Web サーバーにインストールする必要があります。 インストール プロセスはサーバー ソフトウェアによって異なるため、CA またはホスティング プロバイダーが提供する手順に従ってください。
- SSL Labs の SSL Server Test などのツールを使用して、証明書が正しくインストールされ、サイトが安全であることを確認します。
- CA がそれをサポートしている場合 (Let's Encrypt など)、自動更新を設定すると、手動介入なしで証明書が有効なままになり、予期しない期限切れを回避できます。
最後に
このブログでは、SSL/TLS 証明書エラーの複雑さと、それが Web サイトのセキュリティとユーザーの信頼にどのような影響を与える可能性があるかを説明してきました。 「信頼関係を確立できませんでした」エラーの根本原因の特定から、証明書の不一致、有効期限、信頼できない CA、自己署名証明書の使用などの特定のシナリオの調査まで、サイトを保護するためのさまざまなソリューションをカバーしました。 。 ブラウザの信頼設定の調整、証明書の更新または置換、または自己署名証明書から CA 署名証明書への移行のいずれにおいても、安全で信頼できるデジタル通信を維持することの重要性が中心テーマとなっています。 これらの対策を実装すると、サイトのセキュリティが強化されるだけでなく、ユーザーの信頼も強化され、スムーズで安全なブラウジング エクスペリエンスが保証されます。
AI を使用して WordPress ウェブサイトの作成を加速します
10Web AI Website Builder を使用すると、ビジネス ニーズに合わせたカスタム WordPress Web サイトを 10 倍の速さで作成できます。