T
ssl tls security certificates web-development

'certificate expired'(証明書期限切れ)や一般的なSSL/TLSエラーの解決方法

'ERR_CERT_DATE_INVALID'、'self-signed certificate'(自己署名証明書)、'handshake failed'(握手失敗)などのSSL/TLSエラーを修正するための包括的なガイドです。Webサイトを安全に保つ方法を学びましょう。

2026-04-11

"certificate expired" や一般的なSSL/TLSエラーの解決:完全ガイド

SSL(Secure Sockets Layer)とその事実上の後継であるTLS(Transport Layer Security)は、インターネットの安全を支えるプロトコルです。ブラウザとウェブサイト間の通信が暗号化され、プライバシーが守られることを保証します。しかし、証明書に問題が発生すると、ブラウザには「警告ページ」が表示され、訪問者の99%が離脱してしまいます。

このガイドでは、最も一般的なSSL/TLSエラーの意味、発生原因、そしてユーザーとウェブサイト所有者の両方の視点からの解決策を解説します。

1. 一般的なSSL/TLSエラーメッセージ

使用しているブラウザ(Chrome、Firefox、Safari)や開発環境(Node.js、Python)によって、表示されるエラーコードは異なります。

  • Chrome: ERR_CERT_DATE_INVALID(証明書の日付が無効)、ERR_CERT_AUTHORITY_INVALID(信頼できない認証局)、ERR_CERT_COMMON_NAME_INVALIDERR_SSL_PROTOCOL_ERROR
  • Node.js: CERT_HAS_EXPIREDUNABLE_TO_VERIFY_LEAF_SIGNATURESELF_SIGNED_CERT_IN_CHAIN
  • Python (Requests): SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed
  • Firefox: SEC_ERROR_EXPIRED_CERTIFICATEMOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

2. 主な原因と解決策

2.1 "certificate expired"(ERR_CERT_DATE_INVALID)

SSL証明書には有効期間(通常は90日から1年)があります。この期限を過ぎると、証明書は無効になります。

原因: ウェブサイト所有者が証明書の更新を忘れたか、自動更新プロセス(Let's Encryptなど)が失敗した。

解決策:

  • ウェブサイト所有者向け: すぐに証明書を更新してください。Let's Encryptを使用している場合は、certbotのログやACMEクライアントの設定を確認してください。
  • ユーザー向け: コンピュータのシステム日付と時刻を確認してください。時計がずれていると、有効な証明書でもブラウザが期限切れと判断することがあります。

2.2 "self-signed certificate"(ERR_CERT_AUTHORITY_INVALID)

デフォルトでは、ブラウザはDigiCertやLet's Encryptのような既知の「認証局(CA)」が発行した証明書のみを信頼します。自己署名証明書(self-signed certificate)は、自分で作成した証明書です。

原因:

  • 本番環境のウェブサイトで自己署名証明書を使用している。
  • コンピュータの「信頼されたルート」ストアに追加されていないプライベート/企業内CAを使用している。

解決策:

  • 本番環境: Let's Encryptから無料の証明書を取得するか、商用CAから有料のものを購入してください。
  • 開発環境: ローカルでの自己署名証明書の使用は問題ありませんが、ツールに信頼させるか、検証をバイパスする設定(非推奨)が必要です。

2.3 "certificate chain incomplete"(UNABLE_TO_VERIFY_LEAF_SIGNATURE)

SSL証明書は単一のファイルではなく、ルートCAへと続く信頼の連鎖(チェーン)です。サーバー設定に「中間証明書(Intermediate CA)」が欠けていると、ブラウザはチェーンを検証できません。

原因: サーバーが「リーフ(サイト)」証明書のみを送信し、「フルチェーン(サイト + 中間)」証明書を送信していない。

解決策: NginxやApacheなどのウェブサーバーが、CAから提供されたfullchain.pem(または同等のファイル)を使用するように設定されていることを確認してください。

2.4 "SSL handshake failed"

これは、クライアントとサーバー間の最初の通信(ハンドシェイク)中に発生する広範なエラーです。

原因:

  • プロトコルの不一致(例:クライアントがTLS 1.0のみ、サーバーがTLS 1.3を要求)。
  • 暗号スイートの不一致。
  • サーバー側のファイアウォールやプロキシによる接続の遮断。

解決策: サーバーのTLS設定を確認してください。Mozilla SSL Configuration Generatorを使用して、安全で互換性の高い設定を取得することをお勧めします。

3. 高度なトラブルシューティング

3.1 SNI(Server Name Indication)の問題

1つのIPアドレスで複数のサイトをホストしている現代のサーバーでは、サーバーはどの証明書を表示すべきかを知る必要があります。クライアントがSNIをサポートしていない場合(現在は稀)、間違った証明書が表示され、COMMON_NAME_INVALIDエラーが発生することがあります。

3.2 HSTS(HTTP Strict Transport Security)

ウェブサイトがHSTSを使用している場合、ブラウザはSSLエラー発生時にユーザーが「危険を承知で続行」することを拒否します。これは中間者攻撃を防ぐためのセキュリティ機能です。 解決策: SSLエラー自体を修正する必要があります。HSTSを回避する方法はありません。

4. 予防策とベストプラクティス

  1. 自動更新: Let's Encrypt(Certbot)やCloudflareのマネージドSSLなど、自動更新機能付きのサービスを必ず使用してください。
  2. 監視: SSL証明書の有効期限とステータスを監視するサービスを利用してください。
  3. フルチェーンを使用: サーバー設定には常に完全な証明書チェーン(Full Chain)を記述してください。
  4. 脆弱なプロトコルを無効化: SSLv2、SSLv3、TLS 1.0、TLS 1.1を無効にし、TLS 1.2および1.3のみを許可してください。

5. よくある質問 (FAQ)

Q: SSL警告で「続行」をクリックしても安全ですか?

A: 開発者が自分のローカルサイトをテストしている場合のみ安全です。銀行、メール、SNSなどの公開サイトでは絶対に行わないでください。データ盗難の危険があります。

Q: デスクトップでは動作するのに、モバイルでSSLエラーが出るのはなぜですか?

A: これは多くの場合、certificate chain incomplete(証明書チェーン不完全)の問題です。デスクトップブラウザは欠落した中間証明書を補完する能力が高いですが、モバイルブラウザはより厳格です。

Q: CloudflareはSSLエラーを修正してくれますか?

A: CloudflareはユーザーとCloudflare間のSSLエラーを隠してくれますが、完全なセキュリティを確保するには、Cloudflareとサーバー間にも有効な証明書(またはCloudflare Origin証明書)が必要です。

6. クイックチェックツール

証明書の検査やチェーンの確認が必要ですか?私たちの SSL Certificate Checker & Decoder をご利用ください。以下のことが可能です:

  • PEMおよびCRTファイルをデコードし、有効期限や発行者情報を確認。
  • 証明書チェーンを検証し、欠落している中間証明書を特定。
  • PEM、DER、PFXなどのフォーマット間で変換

関連するエラー

  • JSONの 'Unexpected token' エラーの解決
  • 'invalid base64 string' エラーの修正方法
  • 'JWT expired' エラーの解決
ブログに戻る