はじめに
目的
本ドキュメントは、Firefoxブラウザで表示されるSSL証明書エラー「ssl_error_bad_cert_domain」について、原因と具体的な対処法を分かりやすくまとめた入門ガイドです。日常のウェブ利用中にこのエラーが出たとき、何を確認し、どのように対処すればよいかを順を追って説明します。
対象読者
- 一般のウェブ利用者(閲覧中にエラーが出た方)
- サイト管理や簡単な設定を行う担当者
専門的な知識がなくても理解できるように、専門用語は必要最小限にとどめ、具体例を交えて解説します。
本書の構成と使い方
第2章でエラーの意味をやさしく解説し、第3章で主な原因を挙げます。第4章ではユーザー側でできる対処法を順に説明し、第5章はサーバー管理者向けの対処法をまとめます。まずは第2章を読む前段階として、本章でエラーの位置づけと読み方を確認してください。
注意点
このエラーは証明書の「ドメイン名の不一致」が原因で起きることが多いです。安全性に関わる問題なので、安易に例外を許可する前に原因を確認してください。
2. ssl_error_bad_cert_domainとは
定義
ssl_error_bad_cert_domainは、Firefoxで表示されるSSL/TLS証明書に関するエラーの一つです。アクセスしようとしているウェブサイトのドメイン名(例: example.com)と、証明書に記載されたドメイン名が一致しないときに表示されます。
表示され方
ブラウザは安全でない可能性があるとして警告ページを表示します。エラーコードとして「ssl_error_bad_cert_domain」が出て、ページへの接続を続けるか止めるかを選べる画面になります。
具体例でわかりやすく
- ブラウザで example.com にアクセスしたが、証明書は www.example.com のみを対象にしている。
- 証明書が別の会社や旧ドメイン向けに発行されている。
- 自分の開発用PCでIPアドレスやlocalhostにアクセスしていて、公開証明書と名前が合っていない。
なぜ重要か
ドメイン名の不一致は、通信相手が本物でない可能性を示します。攻撃者が通信を傍受・改ざんしている場合もあるため、ブラウザは接続を警告します。とはいえ、多くは設定ミスや証明書の更新忘れなどの単純な原因です。
3. エラーが発生する主な原因
ここでは、ssl_error_bad_cert_domainが起きる代表的な原因を分かりやすく説明します。具体例を交えて短くまとめます。
1. ドメイン名の設定ミス
証明書に記載された名前とアクセス先が一致しないと起きます。例:証明書はexample.comのみで、www.example.comで接続するとエラーになります。
2. ドメイン名変更後の証明書未更新
ドメインを移転や変更したのに新しい名前で証明書を発行していない場合に発生します。古い証明書をそのまま使っている状態です。
3. サブドメインとメインドメインの混同
サブドメイン(blog.example.com)用とメイン(example.com)用の証明書を取り違えると合いません。ワイルドカード証明書やSANで対応できます。
4. IPアドレスでのアクセス
https://123.45.67.89 のようにIPでアクセスすると、証明書のドメイン名と一致せずエラーになります。
5. リバースプロキシやロードバランサーの設定ミス
プロキシ側で別の証明書を返したり、Hostヘッダーを正しく渡さないとエラーになります。例:プロキシが自分の証明書を提示して起きる場合があります。
6. CDNやセキュリティサービスの介入
CDNが中継して独自の証明書を提示する、またはCNAME設定が不十分で証明書が合わないことがあります。カスタム証明書の設定を確認してください。
4. ユーザー側での解決方法
4.1 URL(アドレス)の確認
まず表示しているURLを確認します。スペルミスやサブドメイン(例: www. の有無)、httpとhttpsの違いでエラーが出ることがあります。公式のお知らせやブックマークと照らし合わせてください。
4.2 ブラウザのキャッシュとクッキーをクリア
ブラウザが古い情報を使っている場合があります。設定から「キャッシュの削除」「クッキーの削除」を行い、再読み込みしてください。ChromeやFirefoxではプライベートモード(シークレットウィンドウ)での確認も簡単です。
4.3 別のブラウザや別端末で試す
同じ環境だけで判断せず、別のブラウザやスマホ・別のPCでアクセスしてみてください。問題が端末固有か、サイト側かを切り分けできます。
4.4 DNSキャッシュのクリア
名前解決の古い情報が残っている場合があります。Windowsならコマンドプロンプトで「ipconfig /flushdns」、Macならターミナルで「sudo dscacheutil -flushcache」を実行してみてください。
4.5 VPN・プロキシの一時無効化
VPNやプロキシ経由だと別の証明書や経路によりエラーが出ることがあります。一時的に無効にして直接接続を試みてください。
4.6 hostsファイルの確認
hostsファイルに特定のIPが登録されていると、正しいサーバーに繋がらないことがあります。Windowsは「C:\Windows\System32\drivers\etc\hosts」、Mac/Linuxは「/etc/hosts」を確認してください(編集は管理者権限が必要です)。
4.7 日時設定の確認
端末の日時が大きくずれていると証明書の有効期限と合わずエラーになります。正しい日時・タイムゾーンに設定してください。
4.8 最終手段と連絡
上記を試しても直らない場合は、サイト運営者や自分のネットワーク管理者に問い合わせてください。アクセス画面のスクリーンショットや発生時間を添えると調査が早まります。
5. サーバー管理者側での解決方法
優先すべき対応
まず正しいドメイン用のSSL証明書を再発行することが最も確実です。たとえば example.com と www.example.com の両方で使うなら、両方をカバーする証明書を発行します。
証明書の種類と選び方
- ワイルドカード証明書: *.example.com のようにサブドメインをまとめて保護します。管理が楽です。
- SANs(Subject Alternative Names)証明書: 複数の異なるドメイン(example.com と example.net など)を一つにまとめて保護できます。
再発行・導入の手順(簡潔)
- サーバーでCSR(証明書署名要求)を作成します。ドメイン名を正しく入力してください。
- 証明書発行機関(CA)へ提出して証明書を取得します。
- サーバーに新しい証明書と中間証明書をインストールし、Webサーバーを再起動します。
- ブラウザや openssl で接続確認します。
Webサーバー設定の確認
- バーチャルホスト(ホスト名)を正しく設定すること。複数のドメインを同じIPで運用する場合、SNIを有効にします。
- 古い証明書が残っていないか、チェーン(中間証明書)も正しく配置されているか確認します。
自動更新と監視
Let’s Encrypt のような自動更新を利用すると期限切れ対策になります。証明書の有効期限を監視する仕組みも導入してください。
よくある注意点
- サブドメインや別ドメインを忘れて発行するとエラーが続きます。したがって対象ドメインを事前にリスト化してください。
- ロードバランサやCDNを使う場合は、それぞれの終端に正しい証明書を配置してください。
