中間証明書のインストールを忘れるとどうなるか

ちゃんとしたSSL証明書を取得して設定したのに、SSLで接続すると端末によっては「信頼された証明機関から発行されていません」という警告が出る場合があるので困っているという相談を受けたので、いろいろ調べてみました。

端末が古いものが多かったので、はじめはルート証明書がインストールされていないのだろうと軽く考えていたのですが、最終的な結論としては中間証明書のインストールをし忘れるとそういうことが起こるということが分かりました。

高木浩光＠自宅の日記 - 第六種オレオレ証明書が今後増加するおそれ, 訂正（15日）

これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。

この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。

IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フィールドにあるURLから、検証に必要な中間認証局の証明書を、別途自動でダウンロードして取得する機能があるためだ。

警告が出る場合と出ない場合の挙動の違いについては上記のエントリに詳しく書かれていますが、これまで中間証明書のインストールを忘れたという経験がなかったので少し手こずってしまいました。