SSL host could not be verifiedエラーの原因と解決策詳細ガイド

2025 10/29

2025/10/29

はじめに

本記事の目的

本記事は「SSLホスト認証エラー（”SSL host could not be verified”）」の原因と対処方法を分かりやすく解説することを目的としています。証明書の検証に失敗して起きる問題を整理し、現場で使える実践的な対処法を丁寧に紹介します。

対象読者

ウェブサイト運用者やサーバ管理者
アプリやサービスの開発者
SSL/TLSのトラブルに初めて直面した方
専門家向けの難しい表現は避け、具体例を交えて説明します。

本記事で扱う内容

以降の章では、エラーの概要、主な原因、代表的なエラーメッセージ例、対処手順、補足情報、最後に推奨アクションを順に説明します。段階を追って確認すれば、多くの問題を自分で解決できるようになります。

読み進め方のヒント

まずは第2章でエラーの全体像をつかみ、第3章で当てはまる原因を探してください。原因が分かれば第5章の対処法を参照し、手順に沿って作業してください。必要なコマンドや設定例は具体的に示しますので、実務にすぐ役立てられます。

SSLホスト認証エラーの概要

定義

SSLホスト認証エラーとは、ブラウザやアプリがサーバーのSSL/TLS証明書を確認したときに、証明書が正当であると判断できない場合に発生します。簡単に言うと「この証明書は接続先の正しい相手から来ているか分からない」と判断される状態です。

発生する場面

ウェブサイトを閲覧するとき（ブラウザが警告を表示）
API通信やWebhookでサーバーとやり取りするとき
メール送信（SMTP）でTLS接続するとき

具体例：社内サーバーへアクセスしたら「安全な接続を確立できません」と表示される場合など。

表示される代表的なメッセージ

“SSL host could not be verified”
“SSL certificate cannot be trusted”
“SSL: CERTIFICATE_VERIFY_FAILED”
これらは環境やライブラリによって文言が少し異なりますが、本質は同じです。

ユーザーやサービスへの影響

証明書検証に失敗すると接続を拒否されるか、警告を表示されます。結果としてウェブページが開けない、API連携が失敗する、メールが送れないといったサービス停止につながります。

まず確認すべきポイント（簡易チェック）

接続先のホスト名と証明書のコモンネーム（CN）やSANが一致しているか
証明書の有効期限が切れていないか
クライアントの日時が正しいか（時刻がずれると検証失敗します）
証明書が自己署名か、信頼された認証局（CA）によるか

これらを順に確認すると、問題の切り分けがしやすくなります。

主な原因

SSLホスト認証エラーが起きる主な原因を、実例とともに分かりやすく説明します。

1) 証明書のインストール不備や破損

サーバーに証明書が正しく配置されていない、またはファイルが壊れている場合です。確認方法：証明書ファイルの存在とパーミッションを確認し、opensslで接続確認を行います（例: openssl s_client -connect example.com:443）。

2) 証明書の期限切れ

期限が過ぎた証明書は無効になります。確認方法：ブラウザの証明書情報を見るか、openssl x509 -noout -datesで有効期限を確認します。

3) 自己署名証明書の利用

自己署名は信頼された認証局（CA）発行ではないため、多くのクライアントで拒否されます。テスト用なら問題ありませんが、本番では公的CAの証明書を使うべきです。

4) 中間証明書未設定（チェーン切れ）

サーバーが中間証明書を返さないと、クライアントがルートCAまで検証できません。対策は中間証明書を結合して設定することです。

5) クライアント側のCA証明書不足

クライアントに必要なCAがインストールされていないと検証できません。cURLで「cURL error 60」が出る場合、cacert.pemが必要なことがあります。

6) ドメイン名の不一致

証明書のCNやSANにアクセス先ドメインが含まれていないと拒否されます。証明書のCN/SANを確認してください。

7) システムやブラウザの設定不備

端末の日時設定が大幅にズレている、SSLキャッシュが古い、プロキシやファイアウォールで検査されている、などが原因になります。まずは端末の日時とネットワーク設定を確認してください。

具体的なエラーメッセージ例

以下は代表的なエラーメッセージと、見かけたときにまず確認すべきポイントです。

cURL error 60: SSL certificate problem

説明：サーバーに必要なCA証明書（cacert.pem）が見つからないか、クライアントが証明書を検証できないときに出ます。
確認項目：cacert.pem が設定されているか、CAバンドルを最新版に更新しているかを確認してください。

SSL: CERTIFICATE_VERIFY_FAILED

説明：サーバー証明書が信頼できない、期限切れ、またはチェーン（中間証明書）が不完全な場合に表示されます。
確認項目：証明書の有効期限、発行者、サーバーが中間証明書を正しく返しているかを確認してください。

SSL Certificate Cannot Be Trusted

説明：自己署名証明書やCAチェーンの不備で、クライアントが発行元を信頼できない場合に起きます。
確認項目：テスト環境なら自己署名を信頼する設定の検討、本番なら適切なCA発行の証明書へ切替えてください。

This site can’t provide a secure connection

説明：ChromeやFirefoxで表示される一般的なメッセージで、TLSハンドシェイクの失敗や証明書の問題が原因です。
確認項目：ブラウザの詳細情報を確認し、サーバーのTLS設定（プロトコル、暗号スイート）と証明書チェーンを見直してください。

補足：どのエラーでも、まずはエラーメッセージ全文とサーバーのログを確認し、検証を無効化する方法はテスト時のみの利用に留めてください。

主な対処方法

SSLホスト認証エラーを解決するための実践的な手順を分かりやすくまとめます。順に確認して対処してください。

1) 証明書の再インストール・更新

証明書が期限切れ・破損している場合は、新しい証明書を再インストールします。ホスティング管理画面やコントロールパネルから行えます。ワンポイント：バックアップを取ってから作業してください。

2) 中間証明書の設定確認

サーバーにCAチェーン（中間証明書）が正しく配置されているか確認します。中間が抜けると検証に失敗します。ベンダーの指示通りに連結ファイルをアップロードしましょう。

3) CA証明書（cacert.pem等）の導入

cURLやSMTPでエラーが出るときは、cacert.pemなどをサーバーに追加します。ホスティング業者に依頼すると確実です。

4) 自己署名から正式証明書へ切替

本番環境では信頼できる認証局発行の証明書を使います。無料のもの（例：Let’s Encrypt）もあります。

5) ドメイン名の一致確認

証明書のCNやSANがアクセスするドメインと一致しているか確認します。サブドメインの違いも注意してください。

6) SSLキャッシュや履歴のクリア

クライアント側のキャッシュが原因のことがあります。Windowsなら「インターネットオプション」→「コンテンツ」→「SSL状態のクリア」で試してください。

7) システム日付・時刻の確認

日付や時刻がずれていると検証に失敗します。サーバー・端末ともに正確な時刻に合わせてください。

作業後はブラウザやcURLで再確認し、まだ問題が残る場合は証明書のチェーンやサーバーの設定ログを確認してください。

まとめと推奨アクション

SSLホスト認証エラーは証明書の設定不備や環境要因で起きますが、多くは正しい手順で解決できます。最も重要なのは「信頼できる認証局の証明書を使う」「証明書チェーン（中間証明書）を正しく設置する」「サーバーとクライアントの日時を合わせる」ことです。

推奨アクション（順に実施してください）
1. 証明書の有効期限・発行先（CN/SAN）を確認する。期限切れやホスト名不一致は即対処します。
2. 中間証明書を含めてチェーンが正しいか確認する。チェーン不備が最も多い原因です。
3. ルートCAがクライアントに信頼されているか確認する。社内CAならクライアントへCA証明書を配布してください。
4. サーバーの日時が正しいか確認する。時刻ずれで検証に失敗します。
5. テストツールで接続確認を行う（例: openssl s_client -connect yourhost:443, curl -v https://yourhost）。
6. 可能ならSNI設定やポート（通常443）を確認する。
7. 自動更新（Let’s Encrypt等）や監視を導入し、再発を防ぎます。

トラブルが続く場合は、エラーメッセージと接続ログ、証明書ファイルをまとめてホスティング業者や証明書発行元へ問い合わせてください。具体的なログがあると解決が早まります。