一般的なSSLエラー
2024年9月9日以降、古いデバイス(例:Android 7.0以前)を使用してあなたのウェブサイトに接続しようとする訪問者は、アクセスの問題やセキュリティ警告に直面します。
この問題を解決する最も早い方法は、証明書をGoogle Trust Servicesを証明書発行機関として使用するように変更することです。各証明書タイプの手続きについては、移行ガイドを参照してください。
Cloudflareがあなたのドメインに対してSSL証明書を提供するまで、HTTPSトラフィックに対して以下のエラーがさまざまなブラウザに表示される可能性があります:
- Firefox:
_ssl_error_bad_cert_domain/この接続は信頼できません - Chrome:
あなたの接続はプライベートではありません - Safari:
Safariはウェブサイトの身元を確認できません - Edge / Internet Explorer:
このウェブサイトのセキュリティ証明書に問題があります
CloudflareのSSL証明書があなたのドメインに対して提供されていても、古いブラウザはCloudflareのユニバーサルSSL証明書が使用するサーバー名インディケーション(SNI)プロトコル ↗をサポートしていないため、信頼できないSSL証明書に関するエラーを表示します。
解決するには、ブラウザがSNIをサポートしているか確認 ↗してください。サポートしていない場合は、ブラウザをアップグレードしてください。
CloudflareユニバーサルSSL証明書は、ルートドメイン(example.com)と1レベルのサブドメイン(blog.example.com)のみをカバーします。訪問者がブラウザで2レベルのサブドメイン(例:dev.www.example.com)にアクセスする際にエラーが表示されるが、1レベルのサブドメインにはエラーが表示されない場合、以下のいずれかの方法で問題を解決してください。
dev.www.example.comをカバーする高度な証明書を購入します。dev.www.example.comをカバーするカスタムSSL証明書をアップロードします。- Total TLSを有効にします。
- オリジンウェブサーバーに2レベルのサブドメイン用の有効な証明書がある場合、
dev.wwwのDNSレコードをDNSのみ(グレーのクラウド)に変更します。
すべてのアクティブなCloudflareドメインにはユニバーサルSSL証明書が提供されます。SSLエラーが表示され、CloudflareのSSL/TLSアプリのエッジ証明書タブにタイプがユニバーサルの証明書がない場合、ユニバーサルSSL証明書はまだプロビジョニングされていません。
私たちのSSLベンダーは、Cloudflareがドメイン名の証明書を発行する前に、各SSL証明書のリクエストを確認します。このプロセスには15分から24時間かかる場合があります。私たちのSSL証明書ベンダーは、時々ドメイン名を追加レビューのためにフラグを立てます。
Cloudflareドメインのアクティベーションから24時間以内にCloudflareのSSL証明書が発行されない場合:
- オリジンウェブサーバーに有効なSSL証明書がある場合、Cloudflareを一時停止し、
- サポートに連絡し、エラーのスクリーンショットを提供します。
Cloudflareを一時停止することで、サポートチームが問題を調査している間、オリジンウェブサーバーからHTTPSトラフィックが適切に提供されるようになります。
ドメインが完全なセットアップにある場合、DNSレコードを確認してください。
CloudflareのSSL/TLS証明書は、Cloudflareを通じてプロキシされたトラフィックにのみ適用されます。SSLエラーがCloudflareにプロキシされていないホスト名にのみ発生する場合は、それらのホスト名をCloudflareを通じてプロキシしてください。
ドメインが部分的なセットアップにある場合、現在のホスティングプロバイダーでCAA DNSレコードが有効になっているか確認してください。そうであれば、Cloudflareがドメインの証明書をプロビジョニングするために使用する証明書発行機関を指定することを確認してください。
あなたのサイトの訪問者がOCSPレスポンスエラーを観察します。
このエラーは、ブラウザのバージョンまたはCloudflareのSSLベンダーのいずれかによる問題が原因です。正確に診断するために、ブラウザエラーを観察した訪問者から以下の情報を持ってサポートに連絡してください:
- https://aboutmybrowser.com/ ↗からの出力。
- 訪問者のブラウザからの
https://<YOUR_DOMAIN>/cdn-cgi/traceの出力。
レスポンス内のHSTSヘッダー(Strict-Transport-SecurityおよびX-Content-Type-Options)が、あなたのHSTS設定で定義された設定と一致しません。
HTTPレスポンスヘッダーの変更ルールを設定して、SSL/TLSアプリで定義されたHSTSヘッダーの値を上書きしている可能性があります。
- ルール > 変換ルールに移動します。
- HTTPレスポンスヘッダーの変更の下で、HSTSヘッダーのいずれか(
Strict-Transport-SecurityまたはX-Content-Type-Options)の値を設定しているルールを確認します。 - HSTS設定がSSL/TLSアプリで適用されるように、ルールを削除(または編集)します。
- 他のHSTSヘッダーについてもこの手順を繰り返します。
ブラウザでNET::ERR_CERT_COMMON_NAME_INVALIDというエラーが表示されます。
- SNI(サーバー名インディケーション) ↗をサポートしているブラウザを使用していることを確認してください。詳細についてはブラウザの互換性を参照してください。
- アクセスしているホスト名がCloudflareダッシュボードのDNSタブでプロキシ(オレンジのクラウド)に設定されていることを確認してください。
- アクセスしているホスト名が2レベルのサブドメイン(例:
dev.www.example.com)である場合、次のいずれかを行う必要があります:dev.www.example.comをカバーする高度な証明書を購入します。dev.www.example.comをカバーするカスタムSSL証明書をアップロードします。- Total TLSを有効にします。
Kaspersky Antivirusを使用してCloudflareダッシュボードでSSLエラーを回避するために、Kasperskyでdash.cloudflare.comを許可してください。