SSL よくある質問

SSL証明書が強制的に失効される際のご注意

対象プラン
さくらのSSL

はじめにお読みください

お客様に発行しているSSL証明書について、秘密鍵の漏えいをはじめとするセキュリティ上の問題、その他サービス約款やCPS(認証業務運用規定:認証局がSSL証明書の発行を行う際の運用規定)に基づいて事前連絡なく失効処理を行う場合があります。
このページでは最も多いケースであるお客様の秘密鍵が何らかの理由で外部へ漏えいした場合の対応について記載します。

ページの先頭へ

失効処理の理由

秘密鍵の漏えい等セキュリティ侵害が起きた場合、お客様のドメインのSSL証明書を第三者が勝手に発行することが可能になります。
SSL証明書をコピーすることにより、悪意のある第三者のドメインなりすましができるため、それを防ぐために失効処理が行われます。

失効のタイミングについて

<認証局の規定で秘密鍵漏えい時の失効処理は24時間以内に実施する必要があるため、休祝日、連休等で弊社サポート窓口が対応できない場合事前通知なく失効される可能性があります。
この際、弊社からの連絡は翌営業日以降となります。

SSL証明書の失効により起きること

失効処理は、SSL証明書の状態を記載したリストのようなものに対象のSSL証明書が失効状態であることを登録することによって行われます。
CRL(Certificate Revocation List)、OCSP(Online Certificate Status Protocol)といった仕組みがあり、ブラウザがWebサイトへアクセスした際にそのサイトで使われているSSL証明書が有効かどうかを確認します。

失効状態であるとわかった場合、エラーを表示してWebサイトへのアクセスは行われません。

SSL証明書の失効により起きること

実際にSSL証明書の状態を確認してエラーを表示するかどうかはブラウザの仕様に依存します。2020年3月時点ではFirefox、Internet Explorer、Safariでは厳密に確認されますが、Chrome、EdgeにおいてはCRL、OCSPへの失効状態の確認が行われない場合があり、失効処理後もSSL証明書が利用できてしまう可能性があります。
失効状態を確認する場合、キャッシュ等を削除した上でFirefoxなどのブラウザでアクセスしてください。

ページの先頭へ

失効処理後の対応について

さくらのSSLで購入したSSL証明書については事後連絡の可能性もありますが、カスタマーサポートより必ずご連絡いたします。
基本的に失効したSSL証明書の再発行は承っておりませんので、新規でお申し込みいただくことになります。
この際は必ず秘密鍵を作り直してからCSRを作成してください。
漏えいした秘密鍵を使い回した場合、例え新規申し込みでもそのSSL証明書は安全ではないため利用できません。

まずはサーバの状態を確認

アクセスするユーザーのパスワードやレンタルサーバーの場合は会員パスワード、アカウントパスワード等を変更した上で、ハッキングなどの被害を受けてサーバーに不正アクセスされていないかをご確認ください。
サーバーの安全が確認されていない状態で再度SSL証明書を設定しても再度秘密鍵が盗まれてしまう可能性があります。

SSL証明書設定代行サービスをご利用の場合

さくらのSSL 設定代行サービスを利用してSSL証明書をサーバーへ設定していた場合、申し込みの際に再度設定代行を選択してください。

サーバーの安全が確認できた場合

急ぎ復旧をご希望の場合、さくらのSSLではJPRS ドメイン認証型SSL、ラピッドSSL、クイックSSLプレミアムで自動認証、発行に対応しております。
これらのSSL証明書はメンテナンス時以外は夜間や休日でも認証が完了すれば即時SSL証明書が発行されて設定できます。
さくらのレンタルサーバでは新たにSSL設定を行うと秘密鍵も再作成されますので、簡単に新しいSSL証明書が設定できます。

秘密鍵漏えいの原因

秘密鍵はお客様がCSRを作成する際に生成するものでさくらのSSLでは保持していないため、弊社や認証局から漏えいすることはほぼありません。
漏えいの可能性として、以下の理由が考えられます。

  • お使いのサーバーが不正アクセスなどの被害を受けて悪意のある第三者が秘密鍵を不正に取得した場合。
  • 暗号化されていない電子メールなどで秘密鍵を送信したため中間者に窃取された場合。
  • (さくらのレンタルサーバをお使いの場合)アカウントID/パスワードや会員ID/パスワードが不正に利用されてダウンロードされてしまった場合。
  • アクセスするID/パスワードを知っている人が故意に流出させた場合。

このため、管理者権限のあるサーバーサービスをご利用の場合はまず、ご自身のサーバーが不正にアクセスされていないかをご確認ください。
さくらのレンタルサーバ、また管理者権限のないレンタルサーバーをご利用の場合はアカウント、サーバーパスワード、会員パスワードの変更を行ってからWebサイト等に改ざんなどの被害がないかをご確認ください。

※過去にルート証明書や中間CA証明書の秘密鍵が認証局から漏えいしたため、チェーンしているエンドユーザーのSSL証明書を失効させる必要が出た場合もありました。
類似の事象が発生した際には障害情報、お知らせ等でご案内いたします。

ページの先頭へ