SSL 証明書の有効期限が切れました。数日後、ドメイン用に新しい証明書を作成しました。証明書は現在オンラインで機能していますが、ユーザー側に問題があります。証明書の有効期限が切れると、ユーザーが私の Web サイトに「永続的な例外」を追加することがあり、新しい証明書を追加しても、古い例外が残っており、Web サイトの「ロック」アイコンにマウスを合わせても新しい証明書が表示されませんでした。
では、大きな設定オプションを使用せずに、ユーザーに証明書を再確認させたり、ブラウザーの古い例外を削除させたりする方法はありますか? 自動化されたプロセスなどがあるでしょうか?
答え1
新しい SSL 証明書は、信頼できる証明機関によって署名されている場合、インストールされるとすぐに有効になります。ユーザーのブラウザに新しい証明書が表示されない場合は、新しい証明書がサーバーにインストールされていないか、MITM 攻撃が発生しているか、間違ったサイトにアクセスしていることを意味します。
次の場合、新しい証明書は無効になる可能性があります。
- 間違ったサイトに対して署名されています (証明書のサブジェクトおよびサブジェクト代替名フィールドを参照)。
- ブラウザが信頼していないCAによって署名されている
- 有効期間外です
- 別の目的(ソフトウェア署名、個人用など)で署名されたなど...
編集1: Web サーバーによって提示される現在の証明書に関する情報を表示するには、次のコマンドを実行します。
echo ""|openssl s_client -connect example.com:443|openssl x509 -text -noout