GeoTrustのQuick SSL Premiumを使う場合の注意点


この年初に、サーバー証明書が入っている某サイトの移動を行ってサーバー証明書を新規に取り直したのですが、その際にサイトシール(スマートシール)の表示が出ないというトラブルがあったのでメモとして残しておきます。

結果として以下の対応で修正されたのですが、サポートに問い合わせた際の回答にも注意すべき事項がありましたので記しておきます。

SANsで自動発行されたFQDNには対応しない

何を言っているかというと、GeoTrustのQuick SSL Premiumではコモンネームをwww付きで申請するとwww無しでもアクセスできるサーバー証明書が発行されるのですが、サイトシールはwww付きのアドレスでないと表示されないと言うことです。何で、こんな中途半端な仕様になっているのかは不明ですが、注意が必要です。最近はwww付きとwww無しの両方でアクセスできるようにサーバーを設定される場合が多いと思いますが、どちらでも同じ表示が出るようにした場合には片方だけサイトシールが表示されないのと、サイトシールが表示されるべき場所をクリックすると「ウェブサイトが確認されていません。」と表示されてしまいます。

ちなみに、某サイトはWordPress+EC-CUBEという構成なのですが、この場合はどちらか一方にリダイレクトされるので、リダイレクトされた先がwww付きの場合はwww付きのコモンネームで、www無しの場合はwww無しのコモンネームでサーバー証明書を発行すれば問題ありません。リダイレクトされない場合には先の問題が発生します。

さて、ここに気が付くまでには紆余曲折があって、実は一回だけサポートにメールで問合せをしています。以下に問い合わせ内容を貼っておきます。

1月2日の15時18分に発行され、1月4日の22時24分に決済した証明書を配置したサイトにて、サイトシールが表示されず、サイトシールが表示されるべき場所をクリックすると「ウェブサイトが確認されていません。」と表示されます。サイトシールが表示されるまで何日くらいかかるのでしょうか?

この段階では、コモンネームはwww付きでサーバー証明書を発行して貰ったので、問合せコモンネームとしてはwww付きで問合せをしております。その問合せに対する回答は以下の通りです。

本ケースはSNIが原因でウェブサイトの確認ができないため、サイトシールの表示ができません。
 
詳細は下記のページ2をご参照下さい。
 
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=SO28100&actp=search&viewlocale=en_US
 
SNIを使用すると、1つのIPアドレスに複数のウェブサイトのSSL証明書を設定することができます。このため、IPアドレスからウェブサイトを確認した際に別のコモンネームが表示され、サイト確認ができない状態でございます。
 
www.某サイト様の情報は以下のとおりです。
Server configuration
Server type: Apache
IP address: 1.33.xxx.xxx
Port number: 443
 
IPアドレス1.33.xxx.xxxからウェブページを確認すると別のウェブサイトが表示されます。
IP address: 1.33.xxx.xxx
Common name: www.別サイト
 
IP address: 1.33.xxx.xxxからウェブサイトを確認した際に、www.某サイトのサイトが表示されるようにして下さい。

という事で、日本語では情報が掲載されていないのですがSNI(一つのIPアドレスで複数のhttpsなサイトを運用できる)の場合は、IPアドレスでアクセスした際にも同じサイトが表示される必要があるとのことでした。これについては、Apacheの設定の順番を変えて対応し、48時間ほど様子を見たのですが解決されませんでした。ただ、サイトシールがSNIに対応していないとの事ですので、1台のサーバー(IPアドレスが一つ)上で複数のhttpsなサイトを運用し、それぞれにサイトシールを貼ると、表示されるサイトとされないサイトが発生すると言うことを示していますので、これはこれで要注意です。

あと、このメールでの回答についてDNSの逆引きの設定の問題も考慮し、そちらの対応もしたのですが同様に48時間ほど様子を見ても解決されませんでした。おそらく、DNSの逆引きについては関係ないと推測できます。

という事で、最終的には最初の方法(コモンネームを変えてサーバー証明書を発行し直す)で解決したのですが、SNIなサーバーでの問題については日本語での情報が見つからなかったので参考になればと思います。サーバー証明書を自分で取得して運用を始めてから10年以上になりますが、こんな問題に引っ掛かることは想定もしていませんでした。いろいろありますねぇ。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です