質問

Solution ID : SO24006

必要な中間CA証明書をすべて正しくインストールしても、SSL接続でエラーが警告が表示されます

Problem

必要な中間CA証明書(製品別の中間CA証明書、クロスルート設定用証明書)はすべて正しくインストールしました。
しかし、PCブラウザや携帯端末等、一部の環境のみアクセスで警告表示が出たり接続ができなかったりと問題が発生します。
OS やブラウザのバージョンが同じでも、問題が発生する場合と発生しない場合があるようです。
 

Solution

クロスルート設定用証明書「VeriSign Class 3 Public Primary Certification Authority - G5」には、同じ名称のルート証明書が存在します。

ウェブサーバ(または、実際に SSL 通信に利用しているアクセラレータなどの機器)が参照するルート証明書ストアに「VeriSign Class 3 Public Primary Certification Authority - G5」のルート証明書がインストールされていると、クロスルート設定用証明書がサーバから送出されず、SSL クライアント側で接続エラーが発生する事象が確認されています。

ウェブサーバにクロスルート設定用証明書と同じ名称のルート証明書の両方がインストールされている場合、サーバ内では同じ名称のクロスルート設定用証明書を介さず証明書のチェーンが確立されてしまうため、クロスルート設定用証明書がサーバから送出されない事象が発生することがあります。

  • サーバ内の通常の証明書信頼チェーン


    Class 3 Public Primary Certification Authority (ルート証明書)
     ∟VeriSign Class 3 Public Primariy Certification Authority - G5 (クロスルート設定用証明書)
       ∟製品毎の中間 CA 証明書
         ∟サーバ証明書
     

  • サーバに「VeriSign Class 3 Public Primariy Certification Authority - G5 」のルート証明書がインストールされていることで、クロスルート設定用証明書を介さず確立した場合の証明書の信頼チェーン


    VeriSign Class 3 Public Primariy Certification Authority - G5 (ルート証明書)
     ∟製品毎の中間 CA 証明書
       ∟サーバ証明書
     

この事象は、現在マイクロソフト社のIIS、Azure および iPlanet 系のウェブサーバにおいて確認されていますが、その他のウェブサーバ(または、実際に SSL 通信に利用しているアクセラレータなどの機器)にも該当する可能性があります。

この事象が疑われる場合は、利用環境のルート証明書ストアに「VeriSign Class 3 Public Primary Certification Authority - G5」がインストールされているかどうかを確認のうえ、提供ベンダに仕様や回避策を確認してください。

弊社が上記事象が発生すると認識している環境における回避策については、以下の情報を参考にしてください。