ConoHaで突然SSLが無効になったトラブルと解決方法

先日、ConoHaで運用している複数のサイトで、今まで問題なく使えていた無料SSLが突然エラーになるというトラブルが発生しました。

かなり焦りましたが、原因を突き止めて無事復旧できたので、同じように困っている方の参考になればと思い、初歩的な原因でしたが、まとめておきます。

発生した問題

管理画面上ではSSLは「有効」になっているのに、ブラウザではこのような表示が出てしまいます。

この接続ではプライバシーが保護されません
攻撃者が、test.example.com 上のあなたの情報（パスワード、メッセージ、
クレジットカード情報など）を不正に取得しようとしている可能性があります。
net::ERR_CERT_COMMON_NAME_INVALID

WordPressサイトは管理画面へもログインできなくなってしまいました。

起きていた症状

• ConoHaの管理画面では「無料SSL：ON」
• ブラウザではSSLエラーが表示される
• しかも 1サイトだけでなく、複数のサブドメインで同時に発生
• 以前は正常に表示できていたサイトも含まれる

環境情報

• ホスティング
  ConoHa WING
• ドメイン管理
  お名前.com
• ネームサーバー
  ConoHaのネームサーバーを使用
  • ns-a1.conoha.io
  • ns-a2.conoha.io
  • ns-a3.conoha.io
• SSL
  ConoHa無料SSL

最初に試したこと（失敗）

1. 無料SSLの再設定

ConoHaのコントロールパネルで無料SSLを一旦OFFにして、1時間程空けて再度ONにしてみました。

結果
ConoHa上では「ON」と表示されるものの、サイトを見るとSSLエラーは解消されず・・・

2. 基本的な確認事項

1. ドメインの有効期限を確認
2. ConoHaのネームサーバーが設定されているか確認
3. AレコードがサーバーIPアドレスに正しく設定されているか確認

これらはすべて問題なし。ドメインの期限も切れていませんでした。

ConoHaからのエラーメール

そうこうしている間に、新規でSSL発行したサブドメインについて、ConoHaからこのようなエラーメールが届きました。

お申込みいただいた以下のコモンネームにて無料独自SSLセットアップに失敗しました。

お手数お掛けしますが再度設定状況をご確認の上、お申込みを
お試しくださいますようお願い申しあげます。

このメールで分かったのは、
SSLは申請されているが、発行（または更新）に失敗しているということでした。

DNS設定の確認

DNSレコードを確認したところ、大量のサブドメインが登録されており、各サブドメインには以下のレコードが設定されていました。

• Aレコード
  サブドメイン名→ サーバーIP
• Aレコード
  www付き→ サーバーIP
• MXレコード
  メールサーバー設定
• TXTレコード
  SPF、DKIM、ACME challengeなど

DNS設定に関する疑問について調べたこと

www付きのAレコードはなぜあるの？

サブドメインを作成する際、ConoHaが自動的にwww付きとwwwなしの両方のAレコードを作成します。これにより、test.example.comでもwww.test.example.comでもアクセスできるようになります。

使っていないwww付きのAレコードは削除しても大丈夫？

削除しても問題ありません。ただし、削除するとwww付きURLでのアクセスができなくなるので、リダイレクト設定をしている場合などは注意が必要です。

サブドメインを削除するとAレコードも自動で消える？

通常はConoHaのコントロールパネルからサブドメインを削除すると、関連するDNSレコードも自動的に削除されます。

解決方法

最終的に以下の手順で問題が解決しました。

1. サブドメインの整理

クライアント様用のテストサイトなど、サブドメインで作成していたサイトがかなり増えてしまっていたので、これらを整理することにしました。

また使いたいときはバックアップから復元すればいいので、直近1年以内の案件に関するものを残して、一旦削除。
ポートフォリオサイトも一部のサイトを残して削除し、別ドメインへ復元。

2. SSL設定のクリーンアップ

各サブドメインで以下の手順を実施

1. ConoHaコントロールパネルにログイン
2. 対象のサブドメインを選択
3. 無料SSLを「OFF」
4. １時間ほど待ってから「ON」

3. 結果

上記の手順により、SSLエラーが解消され、正常にHTTPS接続できるようになりました！

原因について

今回のトラブルの原因として考えられるのは、

1. サブドメイン数の増加
   大量のサブドメインに対してSSL証明書を発行していたため、Let’s Encryptのレート制限に引っかかった可能性
2. 古い設定の残存
   使っていないサブドメインの設定が残っており、SSL更新時に問題を引き起こしていた可能性
3. DNS設定の複雑化
   多数のDNSレコードが存在し、証明書の検証プロセスに影響を与えていた可能性

まとめ

ConoHaの無料SSL証明書が突然無効になる問題は、サブドメインの整理とSSL設定のリセットで解決できました。

同じようなトラブルに遭遇した方は、以下を試してみてください。

1. 不要なサブドメインを削除
2. 各サブドメインでSSLを無効化→有効化
3. DNS設定が正しいか確認
4. ConoHaからのエラーメールが届いていないか確認

SSLの再設定をしなかったサイトも見られるようになっていたので、サブドメインの整理だけで大丈夫だったのかもしれません。
結果、サブドメインの増やし過ぎ、が原因だったのではないかと思います。

参考情報

• ConoHa サポート
• Let’s Encrypt レート制限