Google Chrome 53に更新したら証明書エラーが出るようになった話

Chrome53 証明書エラー画面

実はこのブログ、無駄にSSLに対応しています。つい先日、Google Chrome 53の安定版が公開されたので、更新したらSSL証明書エラーが出るようになりました。

Certificate Transparency(証明書の透明性)エラー

Chrome53 証明書エラー画面

色々書かれていますが、NET:ERR_CERTIFICATE_TRANSPARENCY_REQUIREDとのことなので、ようするにCertificate Transparency(証明書の透明性)関係でエラーになっているみたいです。(Certificate Transparencyとは何ぞや?という方は下記をご参照ください。)

Certificate Transparency(証明書の透明性)|SSLサーバ証明書 ジオトラスト

調べてみると、Chrome 53から「SSLサーバ証明書がCTのログサーバーに登録されていないとエラーが出る」ように仕様変更された、と。

Google ChromeにおけるCertificate Transparency(CT)に関する仕様変更の内容ならびに影響の回避方法について | GeoTrust

ログサーバーに登録されているか確認

というわけで、CTのログサーバーに登録されているか調べてみます。ホスト名で検索し、証明書のシリアル番号と一致しているものが表示されるか確認してください。

透明性レポート – Google

Google 透明性レポート

一致するものが表示されたので、CTのログサーバーには登録されているということになります。実は、一か月くらい前に証明書を再発行してもらったばかりなので、ログサーバーに登録されているのが普通です。じゃあなんでエラーが……。

販売会社へ問い合わせ

ブログで使っているSSLサーバー証明書は、大手レンタルサーバー会社で取得したものなので、早速サポート窓口に問い合わせ。「コモンネーム」「エラー内容」「ログサーバーに登録されている旨」を伝え、調査を依頼しました。

しばらく調べてもらい、回答がありました。要約すると「確かにChrome 53だけでエラーが出る。他のブラウザでは問題なかった。証明書は問題ないので、わからない。」とのこと。実際はすのすごく丁寧に対応していただきました。

使っている証明書がRapid SSLなので「ジオトラストに問い合わせてみますね」と言うと、サポートの方も「そのほうが正確・確実だと思います」とおっしゃられてました。

日本ジオトラストへ問い合わせ

日本ジオトラストへ問い合わせ、色々調べていただいたところ「非常に稀なケースで、SSLサーバー証明書を発行する際の不具合で、ログサーバーのSCTと証明書のSCTの整合性が取れていないのが原因でエラーが出ている。申し訳ない。」ということでした。正直、SCTの整合性が取れていない状態になるっていうのが不思議です。。。

証明書の再発行をすれば解決すると聞いたので、すぐに再発行・再インストールして無事解決。エラーも出なくなりました。

補足しますが、日本ジオトラストへ問い合わせた際に「基本的には弊社から直接購入されたお客様のみサポートを受け付けております。販売会社へ問い合わせていただくようお願いいたします。」とおっしゃられてましたので、まずは販売会社へ問い合わせるのが無難かと思います。