Chrome が NET::ERR_CERT_AUTHORITY_INVALID って。StartCom…

両替レートサイトを更新しようとChromeでアクセスしたら、そんなエラーが出て表示されなくなっていました。

どうやらSSLが無効になっている雰囲気です。でも、exchanger.jpを立ち上げた時に取得したばかりなので期限切れとかはないはずなんだけど。。。

ということで、ググったりTwitterをチェックしてみると・・・

という感じのツイートがチラホラ。

そしてこちら。

Google has determined that two CAs, WoSign and StartCom, have not maintained the high standards expected of CAs and will no longer be trusted by Google Chrome, in accordance with our Root Certificate Policy. This view is similar to the recent announcements by the root certificate programs of both Apple and Mozilla. The rest of this post provides background to that decision and how we plan to minimize disruption while still protecting users.
Google Online Security Blog:Distrusting WoSign and StartCom Certificates

「このCAはGoogleの基準を満たしてないから信用しないことにするよ」って言ってたんですね。

しかも、exchanger.jpに使う証明書を取得する1週間ほど前(October 31, 2016)に… 確認不足でした。

という訳で、証明書を急遽更新することにしたので手順をメモしときます。

秘密鍵を生成

$ openssl genrsa -des3 -out server.pass.key 2048

パスワードは忘れないようにメモっておきます。

秘密鍵からパスワードを削除

$ openssl rsa -in server.pass.key -out server.key

CSRを生成

$ openssl req -nodes -new -key server.key -out server.csr

購入&申請

今回は、FujiSSLを使ってみることにしました。

SSLストア(格安SSLサーバ証明書)

3年で税込み2,592円が、(StartSSLからの)乗り換え価格で税込み1,814円になりました。

サイトから購入手続きをして、CSRをアップ。ファイル認証方式を選んだので、確認用のファイルをサーバに置いてしばらくすると証明書がメールで送られてきました。

サーバ証明書と中間証明書を結合

サーバ証明書と中間証明書を保存して、herokuにアップするために結合します。

$ cat sitename.crt ca-bundle.ca > server.crt

herokuにpush

$ heroku certs:update server.crt server.key –app <app-name>

更新前と更新後

無事更新完了して、サイトにアクセスできるようになりました。サクッと対応できてよかった。

EXCHANGER.JP | Find the best currency exchange in Okinawa!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です