一台だけ、ホームページを表示しようとすると、「保護されていない通信』と表示されるようになりました ERR_CERT_AUTHORITY_INVALID DST Root X3

ERR_CERT_AUTHORITY_INVALID mmblog

複数あるパソコンの中、一台だけ、ホームページを表示しようとすると、「保護されていない通信』と表示されるようになりました。

エラーメッセージには、”ERR_CERT_AUTHORITY_INVALID”

エラーが出るのは、1台だけ。他のパソコンでは、証明書の期限表示に問題なく、発生しているのは、このパソコン1台だけ。

調べていくと、Let’s Encryptのルート証明書が、2021年9月30日で、証明書のパスで、DST Root X3というCAに証明書を問い合わせている端末において、同、CAが期限切れが原因で、このメッセージが表示されるようになったとわかりました。

表示に問題ない端末では、証明書のパスは、ISRG Root X1がCAになっている。問題は発生していません。

ブラウザをfirefoxへすると、表示の問題は解決。

端末の持つCAの違いで、クローム、エッジで問題は発生していました。

鍵のマークをクリック、証明書、証明書のパスで確認。

DST Root X3というCAに証明書を問い合わせている端末において、同、CAが期限切れが原因で、このメッセージが表示されています。

DST Root X3 2021年10月1日にエラー

DST Root X3というCAに証明書を問い合わせている端末において、同、CAが期限切れが原因で、このメッセージが表示される

この時点で、media-method.jpのwwwサーバーは、xserverを利用していました。SSLは無料の、Let’s Encryptを利用していました。

さくらインターネットさんでは、注意喚起、されていました。

https://ssl.sakura.ad.jp/column/letsencrypt-root-certificate/

 

原因は、Let’s Encryp さてどうするか。有料のドメイン認証証明をインストールすればいいのではないか?

原因は、DST Root X3 のCAへ問い合わせを行っているパソコンにだけ発生しています。CAに ISRG Root X1 を利用しているパソコンには、事象は発生していません。

DST Root X3 のCAへ問い合わせを行っているパソコンに、ISRG Root X1のCAをインストールすれば改善されるようですが、そもそもパソコンによって証明書の結果に違いが出てしまうのでは、問題は残ってしまいます。

あぐねた結果、有料のドメイン認証証明をインストールすればいいのではないか?という結論に。

xserverの場合、年間800円のセキュアコアのSSL証明書が利用できます。自動更新機能もありました。

さくらインターネットサーバには、kingssl年間900円がインストールできます。こちらは自動更新なし。手動での更新が必要。

 

media-method.jpでは、xserverのオプションを選択し、セキュアコアのSSL証明書をインストールしました。待つこと1時間ほど。表示の問題は解消されて、ページ表示が復活

セキュアコアのSSL証明書

以前の記事で、ウイルス対策ソフトに問い合わせるCAが変わるのではないかと書いていましたが、間違いで、CAは、そのパソコンに予めインストールされているというのが、正しいようです。

以前の記事。『SSLのシリアル番号』

DST Root X3のCA問題、Let’s Encryptユーザーは多いので、表示出てしまう端末は古いから買い替えなさい?ということでしょうか。それでは、話が逆のような気もします。

パソコンに入っている証明書は、winndowsのマークとRを同時に押して、検索へcertmgr.msc と入力すると証明書を表示できます。ここまではたどりついたものの、ここから先は断念しています。

DST Root X3 の削除

これは、やってよかったのかどうか?

winndowsのマークとRを同時に押して、検索 certmgr.msc

DST Root X3 削除?

DST Root X3 削除 してみました。certmgr.msc 表示させて、指定して削除。

パソコンを再起動すると、対象サーバが、見えるようになりました・・・・が、少しするとまた、見えなくなって、時々、ISRG Root X1となったり、やっぱりDST Root X3になります。

certmgr.msc 表示させても、DST Root X3は、削除されてますが、CAの問い合わせ先は、DST Root X3に。

エラーメッセージは、

ERR_CERT_AUTHORITY_INVALID

NET::ERR_CERT_AUTHORITY_INVALID

に変化もしています。変化・・・、している。

 

正常表示されないPCに ISRG Root X1を持っているPCから、証明書をエクスポートしてインポートすれば良いのではないか!!一夜明け、閃く。

ISRG Root X1 インポート

step1 ISRG Root X1 エクスポート

キーボードで、windowsのマークとRを同時に押します。

検索窓に control inetcpl.cpl

ISRG Root X1 エクスポート

ISRG Root X1_export_2

DER encoreded binary X.509(.CER)(D)を選択

 

保存場所はUSBか何かに。.cer拡張子をつけましょう。

証明書のエクスポートが正常に完了しました

 拡張子表示は、コントロールパネル→エクスプローラーのオプション→表示タブ→登録されている拡張子は表示しないのチェックをはずす

拡張子表示はしておきましょう。

STEP2 ISRG Root X1 インポート

インポートは、エラーが出ている端末で作業します。

操作は、step1同様、winndowsのマークとRを同時に押して、検索

検索窓に control inetcpl.cpl

コンテンツタブ→証明書 → 信頼されたルート証明書

インポートを選択して、

先ほどエクスポートした、isrg.cerをインポート。

エクスポートしたい証明書には拡張子を付ける事

インポート出来たら、パソコンを再起動させます。

表示を確認します。

 

 

出来なかったことが出来ると嬉しいです。ハレバレ。そんなことか?そんなことが大変です!!

見えるようになったら、なったで、発生している事象のキャプチャをとれなくなったことに気がつきます。(あっ)

いろいろ、めぐってきましたが、

やっぱり、こんなこと、エンドユーザー様に行っていただくというのでは骨が折れるので、証明書、年900円ぐらいのことなら、投資しましょうと案内します。

「気になって仕方がない」部分はみんなちがう。by yukari ishi

今日はまさにそんな日になりました。

OCSPレスポンダは証明書の失効状態をタイムリーに提供する OCSPぷろとこるによるオンラインチェックを行う

試験勉強で書いた絵です。証明書はサーバにインストールしますが、そのサーバの証明書がルールに沿っているかどうかは、パソコンに入っている証明書から問い合わせされるため、DST Root X3では、期限が切れていてダメだよっていうことです。

 

 

 

タイトルとURLをコピーしました