ブラウザのエラー
良くあるご質問
ブラウザのエラーに関して
- Q1ページ認証のエラーについて
- 承認時のエラーコードにより、原因が異なります。
ErrorCode:-4148 の場合 以下の原因が考えられます。
・対象ページのアクセスに時間がかかりタイムアウトになっている。
・ネットワーク制限により弊社からのアクセスがブロックされている。
ErrorCode:-4149 の場合 以下の原因が考えられます。
・リダイレクトが有効になっていて、対象ページにアクセスできない。
・HTMLタグ内のHEADタグ内に審査用のMETAタグが設定されていない。
ErrorCode:-3019/-3022 の場合 以下の原因が考えられます。
・ネームサーバの設定に不備があり、DNSから正しい情報を取得できない。
「system error」でページを表示できない場合 以下の原因が考えられます。
・認証ページのURLが改行などで途切れてしまっている。
・文字化け等で正しい認証ページのURLが入力されていない。
- Q2DNS認証のエラーについて
- 承認時のエラーコードにより、原因が異なります。
- ErrorCode:-3026の場合 以下の原因が考えられます。
・DNSにTXTレコードが存在しない。
ErrorCode:-4169の場合 以下の原因が考えられます。
・DNSのTXTレコードに正しく認証文字列が設定されていない。 "globalsign-domain-verification"の文字列が見つからない。
ErrorCode:-4170の場合 以下の原因が考えられます。
・DNSにTXTレコードが100以上設定されている。 正しい認証文字列が設定されていても、TXTレコードが100以上あると認証に失敗します。
ErrorCode:-4171の場合 以下の原因が考えられます。
・DNSのTXTレコードに正しく認証文字列が設定されていない。 "globalsign-domain-verification"以降の文字列が正しくない。
- Q3CAAエラーについて
- 証明書発行時等に、CAAに関連するエラーが発生した場合は、下記の表を参考にご対応ください。
| エラーメッセージ |
エラーの内容 | 解決方法 |
|---|---|---|
| The CAA check failed for one or more of the SAN values in your certificate. Please update your DNS CAA records and try to approve again. |
DNSのCAAレコードにエントリーがあることを探知しましたが、その中に "globalsign.com" が含まれていませんでした。 | CAAエントリーに "globalsign.com"を追加して再度お試しください。 ※キャッシュ時間は1時間に設定されています。DNS設定後は1時間空けるようにしてください。 DNSサーバへのCAAレコード登録方法 |
| example.org: example.org: issue=different.issuer.com |
"example.org" でCAAチェックを行ったところ、"example.org" のDNSにおいて異なる認証局("different.issuer.com")のエントリーがありました。 | CAAエントリーに "globalsign.com"を追加して再度お試しください。 ※キャッシュ時間は1時間に設定されています。DNS設定後は1時間空けるようにしてください。 DNSサーバへのCAAレコード登録方法 |
| caatag.example.org: caatag.example.org issue=different.issuer.com |
"caatag.example.org" でCAAチェックを行ったところ、"caatag.example.org" のDNSにおいて異なる認証局("different.issuer.com")のエントリーがありました。 | CAAエントリーに "globalsign.com"を追加して再度お試しください。 ※キャッシュ時間は1時間に設定されています。DNS設定後は1時間空けるようにしてください。 DNSサーバへのCAAレコード登録方法 |
| sub.caatag.example.org: caatag.example.org: issue=different.issuer.com |
"sub.caatag.example.org" でCAAチェックを行ったところ、"caatag.example.org" のDNSにおいて異なる認証局("different.issuer.com")のエントリーがありました。 | CAAエントリーに "globalsign.com"を追加して再度お試しください。 ※キャッシュ時間は1時間に設定されています。DNS設定後は1時間空けるようにしてください。 DNSサーバへのCAAレコード登録方法 |
| cname.sub.example.org: cname.target.example.org: issue=different.issuer.com; CNAME |
"cname.sub.example.org" でCAAチェックを行ったところ、CNAMEの参照先である "cname.target.example.org" のDNSにおいて異なる認証局("different.issuer.com")のエントリーがありました。 | CAAエントリーに "globalsign.com"を追加して再度お試しください。 ※キャッシュ時間は1時間に設定されています。DNS設定後は1時間空けるようにしてください。 DNSサーバへのCAAレコード登録方法 |
| critical.example.org: critical.example.org: invalidtag=globalsign.com; CRITICAL |
"critical.example.org" でCAAチェックを行ったところ、"critical.example.org" のDNSにおいて、"CRITICAL"に設定された、グローバルサインが認識できないタグがありました。 | グローバルサインが認識できないタグが "CRITICAL" に設定されている場合、発行の可否の判断ができません。 可能であれば、このタグを削除して再度お試しください。 |
| cname.critical.example.org: critical.cname.target. example.org: invalidtag=globalsign.com; CNAME CRITICAL |
"cname.critical.example.org" でCAAチェックを行ったところ、CNAMEの参照先である "critical.cname.target.example.org" のDNSにおいて、"CRITICAL"に設定された、グローバルサインが認識できないタグがありました。 | グローバルサインが認識できないタグが "CRITICAL" に設定されている場合、発行の可否の判断ができません。 可能であれば、このタグを削除して再度お試しください。 |
| request timed out | このエラーは、非常に多くの処理が同時に発生する場合に起こる可能性があります。 また、ネームサーバの前にあるファイアウォールが正しく設定されていないことで、DNSクエリを、不明なクエリタイプとしてはじいてしまう場合にもタイムアウトが起こることがあります。 | 本エラーが表示された際は、しばらく(数分程度)待ってから、再度お試しください。解決しない場合は、DNSプロバイダに問い合わせ、何がタイムアウトエラーを引き起こしているのかを確認してください。 |
| servfail dns response | このエラーは、DNSサーバが「Fail」のレスポンスを返している場合に発生する可能性があります。 | DNSプロバイダに問い合わせ、何が原因でDNSサーバが「Fail」のレスポンスを返しているかの確認と、その問題の解決に努めてください。DNSサーバを正しく設定した後で、再度認証作業を実施してください。 ※キャッシュ時間は1時間に設定されています。DNS設定後は1時間空けるようにしてください。 |
- Q4申し込みの際、CSRを入力してからエラーが表示されます。
- CSRの内容を確認することができない場合、 エラーが表示されます。
CSRについて
以下の原因が考えられますのでご確認ください。
CSR生成時に入力したコモンネーム等に間違いがある。
対応方法
コモンネームに含まれるドメイン名を確認してください。
例)
コモンネーム=www.toritonssl.com
ドメイン名=toritonssl.com
誤ったドメイン名で生成されている場合、正しいドメイン名を含むコモンネームでCSRを再生成し、お申し込みください。
使用禁止文字が含まれていないかご確認ください。
記号は、!#%&'()*+,-./:;=?@[]^_`{|}~が利用可能です。日本語(2バイト文字)はご利用いただけません。
O、OUなどの項目が未入力となっていないか確認してください。
OUの指定がない場合は、半角で - (ハイフン)を入力してください。
CSRの公開鍵はすでに別の証明書で使用されています
対応方法
CSRには「公開鍵」の情報が含まれます。この公開鍵が、発行済みの別の証明書で使用されている場合このCSRではお申し込みいただけません。
同じ秘密鍵からは、同じ「公開鍵」を含むCSRが作られます。1度使用した秘密鍵はご利用にならず、別途新しい秘密鍵を作成してCSRを生成いただくようお願いいたします。 発行済みの証明書とは、「失効済み」「期限切れ」を除いた有効な証明書を指します。
ドメイン名の登録が完了していない
対応方法
CSRのコモンネームに含まれるドメイン名が登録済みであることをドメイン登録業者様に確認してください。ドメイン名の登録が完了していない場合、ドメイン登録完了後に、 再度お申し込みください。
CSR以外のものを貼り付けている(秘密鍵・証明書など)
対応方法
CSRは、「-----BEGIN CERTIFICATE REQUEST-----」で始まり、
「-----END CERTIFICATE REQUEST-----」で終わる「REQUEST」が 含まれる暗号文字列です。
お申込みの証明書種別選択を間違えている
対応方法
ワイルドカードの場合は「 *. 」が、コモンネームに含まれます。
証明書のお申込み種別をご確認下さい。
CSR(証明書署名要求)の公開鍵の鍵長がRSA2,048bit未満です
対応方法
CSRの鍵長が不足しております。2048bit以上での生成が必要です。
※上記のいずれにも該当しません場合は、お手数ですがお問い合わせフォームより、CSRデータをお送りください。弊社にて解析させていただきます。
- Q5HTTPSのページを開くと警告メッセージが表示されます。
- 証明書の警告には3種類ありますが、それぞれの意味は以下の通りです。
- 有効期限が切れたか、まだ有効になっていません
弊社から発行された証明書が正しく設定されているかご確認ください。- 信頼する会社から発行されていません
有効期限が切れていないかご確認ください。またクライアントPCの時間が正常でない場合も同様なメッセージが表示されます。- 名前が無効であるか、またはサイト名と一いたしません
証明書のコモンネームとブラウザで入力してるFQDN(ホスト名.ドメイン名等)が一いたしているかご確認ください。www.example.orgでお申し込みの場合、example.orgというようにホスト名を省略しますと別名と判断されますのでご注意ください。- Internet Explorerの場合
- FireFoxの場合 ※"コモンネーム"の部分は該当コモンネームに置き換えてお読みください。
- 有効期限が切れたか、まだ有効になっていません
- Q6このページにはセキュリティで保護されている項目と保護されていない項目が含まれています。
- フレームを利用したページ構成で、一部のフレームに非SSL/TLSのページを呼び出しているかどうか。 画像やスタイルシートなどの一部コンテンツを非SSL/TLSで呼び出していないか。 非SSL/TLSのリンク設定をしていないか。 (例:http://から始まるフルパスでリンクをしている場合) フレーム分割しているウェブページの場合には、フレーム内のコンテンツすべてをSSL/TLS接続にすることをお勧めいたします。 上記の動作はブラウザにより異なりますので、鍵マークの表示条件等については、各ベンダにご確認ください。
- nternet Explorerの場合 ※「はい」をクリックしてアクセスすると、鍵マークが表示されません。
- FireFoxの場合 ※警告は出ませんが、ブラウザの鍵マークに斜線が入ります。
- Q7SSL/TLS接続中のブラウザに鍵マークが表示されません。
- SSL/TLS暗号通信の際には、ブラウザの仕様により鍵マークが表示されることが一般的です。だたし、以下の 場合には鍵マークが表示されないことがあります。
・フレームを利用したページ構成で、一部のフレームに非SSL/TLSのページを呼び出している場合
・画像やスタイルシートなどの一部コンテンツを非SSL/TLSで呼び出している場合
・非SSL/TLSのリンク設定をしている場合 (例:絶対パスでリンクをしている場合) - いずれもページのソースやブラウザの機能で当該ページでhttp://のリンクをご確認ください。
- フレーム分割しているウェブページの場合には、フレーム内のコンテンツすべてをSSL接続にされることを お勧めいたします。 上記の動作はブラウザにより異なります。鍵マークの表示条件等については、各 ベンダーにご確認くださいますようお願いいたします。
- Q8証明書情報を見ると、「 この証明書の目的はどれも検証されませんでした 」となる。
- 一部の環境にいて、このエラーが生じることがあるようです。
- この現象はメッセージの表記上のみの問題であり、SSL/TLS 通信の安全性は問題なく保たれていることを 確認できているとの情報が、マイクロソフトより公開されております。
- 詳しくは以下URLをご覧ください。
Internet Explorer 5 上で不正な証明書情報が表示される
https://support.microsoft.com/default.aspx?scid=KB;JA;416731
- Q9FireFoxの鍵マークに斜線、警告がついています。
- FireFoxでは、SSL/TLSのページに暗号化されていないコンテンツが混在していると、鍵マークに斜線 または「!」マークがついて表示されます。
- FireFox2
- FireFox3
- ページのソースを確認し、画像やスタイルシート等が http:// で呼び出されていないかご確認 ください。相対パスで記載いただきますと、httpsでページを閲覧している場合は同様にhttpsで 読み込まれます。
- 例: src="./image.jpg"
- なお、外部から読み込む画像も https:// でご指定いただく必要があります。アクセス解析など、 一部のサービスではhttpでしかサービスを提供していないところもあるようです。SSL/TLSの対応状況 については、サービス提供元へご確認ください。
- Q10AndroidでSSL/TLSを利用したページにアクセスすると警告が表示される
- 正しい証明書が設定されているにもかかわらず「セキュリティ警告 このサイトのセキュリティ証明書には問題があります。サイト名と証明書上の名前が一致しません。」というエラーが表示される場合があります。 こちらの警告は、Android OS 2.2 より前のバージョンに存在する脆弱性が原因で表示される場合があります。Android OS 2.2 以降の端末でも警告が表示される状況かご確認ください。
- 新しいAndroid OS でも警告が表示される場合は、証明書内のコモンネームとサイトURLが一致していないことが原因と考えられます。参照しているURLに間違いがないかご確認ください。
- Android における SSL/TLS証明書の表示に関する脆弱性
参考URL
営業時間:平日10:00~18:00(定休:土日祝日)
