以前、Google Chrome 53の安定版が公開された際、SSLを更新したら下記のように証明書エラーが出るようになりました。

Chrome53 証明書エラー画面

調べてみると、Chrome53からはSSLサーバ証明書がCT(Certificate Transparency)のログサーバーに登録されていないとエラーが出るように仕様変更されたとのこと。

今回は、このエラーの解決に至った方法を紹介します。

エラーはCertificate Transparency(証明書の透明性)関係で発生

上記画像にあるNET:ERR_CERTIFICATE_TRANSPARENCY_REQUIREDの文言から、CT(Certificate Transparency:証明書の透明性)関係でエラーになっていることがわかります。

「CT(Certificate Transparency)とは何ぞや?」という方は下記を参照してください。

CTは認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。主に、ウェブサイトの運営者やドメイン名の管理者が、その監査ログサーバ(以下「ログ」)を確認することで、自分のドメインに対して不正な証明書や、ポリシー外の認証局からの証明書が発行されていないかを検証することができます。
それにより利用者が不正に発行された証明書を信頼することを防止します。

Certificate Transparency(証明書の透明性)

冒頭に書いた通り、Chrome53からは、SSLサーバ証明書がCTのログサーバーに登録されていないとエラーが出るように仕様変更されています。

CTのログサーバーに登録されているか確認する

というわけで、まずはCTのログサーバーに登録されているか調べます。

下記サイトより、証明書をホスト名で検索するにホスト名を入力し、証明書のシリアル番号と一致するものが表示されるか確認します。

ウェブ上での HTTPS 暗号化 – Google 透明性レポート

Google 透明性レポート

一致するものが表示されたので、CTのログサーバーには登録されているということになります。
(実は、1か月ほど前に証明書を再発行してもらったばかりなので、ログサーバーには登録されているのが普通です)

では、なぜエラーが出ているのでしょうか、購入した会社へ問い合わせてみました。

証明書を販売している会社へ問い合わせる

SSLサーバー証明書を取得した、大手レンタルサーバー会社のサポート窓口に以下を伝え、調査を依頼しました。

  • コモンネーム
  • エラー内容
  • ログサーバーには間違いなく登録されていること

調べてもらい、しばらくして回答がありました。

要約すると「確かにChrome 53だけでエラーが出る。他のブラウザでは問題なかった。証明書は問題ないので、わからない」とのこと。
(実際はすのすごく丁寧に対応していただきました)

使っている証明書がRapid SSLなので「Rapid SSLを発行しているジオトラストに問い合わせてみますね」と言うと、サポートの方も「そのほうが正確・確実だと思います」とのお返事。

証明書を発行している日本ジオトラストへ問い合わせ

日本ジオトラストへ問い合わせ、調べていただいたところ「非常に稀なケースだが、SSLサーバー証明書を発行する際の不具合で、ログサーバーのSCT※と証明書のSCTの整合性が取れていないのが原因でエラーが出ている、申し訳ない」ということでした。
(※SCT:Signed Certificate Timestamp サーバー証明書のデータが格納されたことを保証するタイムスタンプ情報)

「証明書の再発行をすれば解決する」と聞いたので、すぐに再発行・再インストールして無事解決、エラーも出なくなりました。


以上、SSLで「証明書の透明性(Certificate Transparency)エラー」になった時の解決法を紹介しました。

なお補足すると、日本ジオトラストへ問い合わせた際、「基本的には弊社から直接購入されたお客様のみサポートを受け付けております。販売会社へ問い合わせていただくようお願いいたします」といっていましたので、まずは販売会社へ問い合わせるのが無難かと思います。

参考記事