先日、お客様とのやり取りでサイトを見ていたのですが、今までは見れていたサイトが急に見れなくなりました。見れないブラウザは Google Chrome のみでした。

これは！と思い、色々調べると、どうやら証明書が原因だったようでした。

いきなりアクセスできなくなった

急でしたが、今まで表示されていたサイトが見れなくなりました。
今までと違うところは、Google Chrome のバージョンです。最新版にしていたのでもしかしたらそのあたりで Google Chrome の仕様が変わった可能性がありました。

このサイトは安全ではありません。ERR_SSL_PROTOCOL_ERRORと出る

サイトにアクセスすると、「このサイトは安全ではありません」と表示され、エラーコードは「ERR_SSL_PROTOCOL_ERROR」と出ます。このエラーはSSLのプロトコルでエラーが出ているということです。

まず、試したこと

Google Chrome のシークレットモードでの確認

効果なし🙅‍♂️

Google Chrome の再起動

効果なし🙅‍♂️

・・・

🤯

別のブラウザでの確認

見れる！（Firefoxで確認）

🤔

SHA-1 のアルゴリズムの証明書が原因っぽい

調べていくと、証明書にSHA-1のアルゴリズムが使われているからという可能性がありました。

Google Chrome側で考えられること

おそらくChrome 117 あたりから見れなくなりました（バージョン細かく見れてませんでした😭、、）ので、そのあたりから証明書にSHA-1 のアルゴリズムを使っていると「ERR_SSL_PROTOCOL_ERROR」にした可能性があります。

ただ、調べた結果、SHA-256 になっているようなんですよね。

こういうツイートも見かけました。

ERR_SSL_PROTOCOL_ERROR が出るやつ、結局 Chrome が v116 だか v117 で SHA-1 のサポート (フォールバック) 切ったのと、 OpenSSL の 1.x 以前で SNI のバグがあって SHA256 で署名してても SHA-1 が必要になってしまう場合がある、みたいな合せ技一本で死ぬパターンがあるって理解でいいのかな。
— donbulinux (@donburenew) October 16, 2023

このサイトは安全に接続できません
ERR_SSL_PROTOCOL_ERROR
が今発生しているがこれはChromeの証明書受け入れ既定動作がバージョンアップにて変わったことが原因

根本解決としてはSHA1 署名ではなく SHA256 署名を使用すバージョンの OpenSSL ライブラリを使用していることを確認する必要がある
— あしりむ (@poe900323) October 2, 2023

ということで、SHA256を使用している場所が関係していたり、OpenSSLの環境にもよるみたいです。

さて、それでは、どうすればいいのか
最後に対応策を見ていきたいと思います。

対応策

1. 証明書の変更

SHA-1 のアルゴリズムを変更するという方法です。
証明書の発行元に問い合わせて対応してもらうのがよいかと思います。

2. Google Chrome 側で調整

Google Chrome 側でSHA-1の証明書を許可する設定に変更します。
こちらは設定を変更しなくてはいけませんのであまりお勧めはしません。

chrome://flags とGoogle Chrome の検索窓に打ちます。
画面内の検索窓（ブラウザ自体ではないです）で「SHA-1」と打ちます。
「Allow SHA-1 server signatures in TLS」という項目が出ますので、「Default」から「Enable」に変更する

3. 別ブラウザを使用する

Firefoxなどの別のブラウザに変更する方法です。

お困りごとありましたら OCWS までお気軽にご連絡ください！