SSL証明書とは?
SSL/TLS証明書は、信頼された認証局(CA)が署名したデジタル文書で、公開鍵を1つまたは複数のホスト名に紐付けます。クライアントが接続すると、サーバーはTLSハンドシェイクの一部として証明書を提示します。クライアントはCAの署名、証明書の有効期間、列挙された名前のいずれかが接続先ホストと一致することを検証します。
従来からの名前にもかかわらず、現代の証明書は廃れたSSLではなく、TLSプロトコル(現在はTLS 1.2および1.3)を使用します。X.509証明書形式とPKIチェーンは RFC 5280 で定義され、HTTPS固有の挙動は RFC 2818 で定められています。
なぜSSL証明書を確認すべきか?
1突然の有効期限切れを防ぐ
証明書の期限が切れた瞬間、すべてのブラウザと現代のメールクライアントは破綻します。残り日数を能動的に監視しましょう
2ホスト名の対象範囲を確認
証明書はSANリストにあるホスト名にのみ有効です。配信中の各サブドメインを確認しましょう
3信頼されないチェーンを検出
自己署名や未知のCAの証明書はブラウザ警告を引き起こします。ユーザーより先に見つけ出しましょう
4メールのSTARTTLS監査
メール事業者はMXエンドポイントがTLSで正常に折衝することを期待します。壊れた証明書は到達率を密かに低下させます
SSL検証の仕組み — ステップごとの流れ
クライアントがドメインへのTLS接続を開き、ClientHelloを送信します。
サーバーが証明書チェーン(リーフ証明書+必要な中間CA証明書)を返します。
クライアントは自身のトラストストアにある信頼されたルートCAまでチェーンを遡って検証します。
各署名を検証し、各証明書が有効期間内であること、いずれも失効していないことを確認します。
最後に、リーフ証明書のSANリストに接続先ホスト名が含まれることを確認します。
すべてのステップを通過するとハンドシェイクが完了し、セッション鍵が交換されます。
証明書のフィールド一覧
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null \
| openssl x509 -noout -text証明書の主要フィールド
Issuer— 証明書を署名した認証局Subject CN— 旧来の主要ホスト名SAN— 有効なホスト名の現代的なリストNot Before / After— 有効期間Key Usage— 許可される操作(サーバー認証など)よくあるSSLの不具合と対処
証明書の有効期限切れ
即時に更新し、監視を設定しましょう。多くのチームは残り30日でアラートを発します
ホスト名の不一致
テストしたホスト名がSANにありません。欠けている名前または正しいワイルドカードで再発行しましょう
自己署名証明書
ブラウザは拒否します。無料のLet's Encrypt証明書か、CDN管理の証明書へ切り替えましょう
チェーンが不完全
中間証明書が欠落するとクライアントが検証できません。サーバー設定でリーフとともにバンドルしましょう
よくある質問 (FAQ)
SSL/TLSチェッカーは、ドメインが信頼された認証局からの有効な証明書を提供していること、SubjectおよびSubject Alternative Namesがテストしたホスト名をカバーすること、証明書が現在の有効期間内であること、自己署名ではないことを確認します。これらの検証を合わせて、ブラウザやメールクライアントが接続を信頼することが裏付けられます。
証明書が失効した瞬間、すべてのブラウザはセキュリティ警告を表示し、ほとんどの現代のメールクライアントはSTARTTLSを拒否します。失効を放置するとウェブトラフィックと認証付きメール送信が同時に壊れます。残り日数の監視は更新までの猶予を生みます — 多くのチームは30日未満でアラートを発します。
テストした名前が証明書のSANリストに完全には含まれていない場合に起きます。代表例は、apexのみの証明書に対してwwwサブドメインをテストする、サブのサブドメイン用ワイルドカードが欠落、共有IP上で誤ったバーチャルホストを提供、などです。正しいSANで再発行してください。
はい、間接的に影響します。メール事業者はMX、SMTP submission、トラッキングドメインのエンドポイントがTLSを成功裏に折衝することを期待します。壊れた/失効した証明書は平文への降格や配信失敗を招き、時間とともに評価を下げます。メール関連のすべてのドメインを緑の鍵で保つことは、健全な認証体制の一部です。
ホスティングプロバイダーまたは認証局を通じて証明書を再発行するか、Let's Encrypt のようなサービスで自動更新を有効にして、今後の失効を防ぎましょう。新しい証明書をインストールした後、SSL チェッカーを実行して、有効期限と証明書チェーンが有効であることを確認してください。
送信インフラ上の期限切れ証明書は TLS 接続を切断し、受信側が求める信頼シグナルを損なう可能性があり、これが到達率の低下につながることがあります。メールサーバーやメール内にリンクされたウェブサイトの証明書を有効に保つことは、レピュテーションと受信者からの信頼の両方を守るうえで役立ちます。