KernelHost Tools SSL Checker

SSL証明書チェック

ドメイン(またはhost:port)を入力すると、誰が証明書を発行したか、いつ期限切れになるか、ホスト名をカバーしているか、証明書チェーンの構成を即座に確認できます。Frankfurtノード、無料、登録不要です。

ドメインをチェック
クイックテスト: kernelhost.com cloudflare.com github.com:443 expired.badssl.com

このテストは何をチェックする?

KernelHost SSL CheckerはFrankfurtノードからTLSハンドシェイクでサーバー証明書を取得し、サードパーティ呼び出しなしで主要フィールドを表示します。次の項目をチェックして表示します:

  • 発行先と発行者: Common Name(Subject CN)、フルのSubject DN、Issuer(どのCAが署名したか)。
  • 有効期間: UTCでの開始日と終了日、残り日数。色分け: 緑(>30日)、橙(7から30日)、赤(7日未満または期限切れ)。
  • Subject Alternative Names (SANs): 証明書がカバーするホスト名のフルリスト。ワイルドカードエントリも含みます。
  • ホスト名一致: 入力したドメインが本当にCommon NameまたはSANワイルドカードでカバーされているか検証(RFC 6125)。
  • 鍵と署名: 公開鍵アルゴリズム(RSA、ECDSA)、鍵のビットサイズまたは曲線名、署名アルゴリズム。
  • フィンガープリントとシリアル: DERエンコード証明書のSHA-256とSHA-1フィンガープリント、十六進シリアル番号。
  • フルチェーン: ハンドシェイクでサーバーが返したすべての証明書、Subject、Issuer、ロール(leaf、intermediate、root)。

よくあるSSLエラーとその意味

ブラウザはNET::ERR_CERT_DATE_INVALIDやSSL_ERROR_BAD_CERT_DOMAINのような分かりにくいエラーを表示します。よくある原因と対処を示します:

  • 証明書の期限切れ: notAfter日付が過去になっています。ブラウザはページを完全にブロックします。対処: 証明書を更新します。Let's Encryptならcertbotやacme.shで60日ごとに自動更新されます。
  • ホスト名の不一致: ホスト名がCommon NameにもどのSANにも入っていません。対処: 再発行時に必要なすべてのドメインとサブドメインをSANに追加します。
  • 自己署名または不明なCA: Issuerが信頼されたルートCAではありません。ブラウザはNET::ERR_CERT_AUTHORITY_INVALIDを表示します。対処: Let's Encrypt、ZeroSSL、Sectigo、DigiCertなどの認められたCAから証明書を取得します。
  • 不完全なチェーン: サーバーがintermediatesなしでleaf証明書のみを送信しています。モバイルブラウザや古いデバイスで失敗します。対処: Webサーバーでフルチェーン(fullchain.pem)を構成します。
  • 弱い鍵または弱い署名: RSA 2048 bit未満またはSHA-1署名は許可されません。対処: RSA 2048+またはECDSA P-256で再発行します。
  • Mixed ContentとHSTSの落とし穴: 以前に有効なHSTSヘッダーを送信していて証明書が期限切れになると、訪問者は警告を回避できません。緊急対応: 証明書を更新し、緊急時はHSTSのmax-ageを下げます。

Let's Encrypt 対 商用証明書

Let's EncryptはISRGが運営する無料の自動化CAです。証明書は技術的に商用DV証明書と同一で、すべての現代ブラウザで信頼されます。

有料証明書が意味を持つのはどんなときか? 実は特殊なケースだけです:

  • Extended Validation (EV): かつては緑のアドレスバーを表示しましたが、今ではほぼ視認できません。法的に求められる銀行や取引プラットフォームのみで意味があります。
  • DNSチャレンジ不要のワイルドカード: Let's EncryptはDNS-01チャレンジでのみワイルドカードをサポートします。DNSへのAPIアクセスがない場合はZeroSSL PremiumやSectigoが選択肢です。
  • 保証と保険: 商用CAは誤発行時の保険金額を提供します。実務ではほぼ関係ありませんが、一部のコンプライアンス要件で求められます。

KernelHost WebhostingとcPanelには無料のLet's Encrypt統合がデフォルトで含まれています。証明書はAutoSSLによって60日ごとに自動更新され、何もしなくて構いません。ドメインがKernelHost DNSにあれば、DNSチャレンジ経由のワイルドカード証明書も可能です。

TLS 1.2 対 TLS 1.3

TLS 1.2は2008年から標準で、TLS 1.3はRFC 8446として2018年に公開され、2020年以降広く展開されています。古いバージョン(SSL 3.0、TLS 1.0、TLS 1.1)は安全ではないため、サーバー構成で無効化すべきです。

TLS 1.3が改善する点:

  • より速いハンドシェイク: 2-RTTから1-RTTへ。再開時はオプションで0-RTT。TLS中心のページで体感が速くなります。
  • 整理されたcipherセット: 許可されたAEAD cipher suiteは5つのみ。RSA鍵交換は廃止、常にforward secrecy。
  • 暗号化されたハンドシェイク: サーバー証明書自体も暗号化して転送されます。ESNI/ECHを使えばSNIまでプライベートになります。
  • 後方互換: サーバーはTLS 1.2と1.3を並行して提供できます。ブラウザは自動で最高の共通バージョンをネゴシエートします。

証明書の期限切れは何を意味するか

SSL証明書の期限切れは具体的に: ブラウザはフルスクリーン警告を表示してサイトをブロックします。多くの場合訪問者は警告を回避できず、特にHSTSヘッダーが有効なときはなおさらです。

運営者への影響:

  • Googleでのランキング低下(HTTPSはランキング要因で、信頼関連シグナルが評価されます)。
  • メールサーバー(STARTTLS付きMX/SMTP)が受信接続を拒否し、メールがバウンスまたは遅延配信されます。
  • 証明書ピンニングを行うAPIクライアントとモバイルアプリが破綻し、アプリ更新が必要になる場合があります。

HSTS、CAA、OCSP Stapling

有効な証明書は始まりに過ぎません。3つの追加メカニズムでTLSセキュリティをベストプラクティスレベルに引き上げます:

  • HSTS(HTTP Strict Transport Security): ブラウザにこれ以降HTTPSのみを使うよう強制するヘッダーです。推奨: max-age=63072000; includeSubDomains; preload(2年、すべてのサブドメイン、preloadリスト)。max-age実行中はミス構成を巻き戻せないため、有効化は慎重に。
  • CAA(Certification Authority Authorization): あなたのドメインに対して証明書を発行できるCAを定めるDNSレコードです。例: 'kernelhost.com. CAA 0 issue "letsencrypt.org"' で他CAによる誤発行を防ぎます。
  • OCSP Stapling: Webサーバー自身がCAの失効ステータスレスポンスを同梱して配信し、ブラウザが個別にCAへ問い合わせる必要をなくします。訪問者にとって速く、CAインフラの負担も軽くなります。Apache: SSLUseStapling On、nginx: ssl_stapling on。

プライバシー

KernelHost SSL Checkerは当社のFrankfurtノード内で完結し、サードパーティへの呼び出しはありません:

  • 入力を外部API(SSL Labs、Hardenize、Cryptomonなど)に転送しません。
  • 標準のリクエストロギング(Webサーバーログ、14日保持)を超えてチェック対象ドメインを保存しません。
  • Anti-SSRFフィルターが、プライベートIP範囲、loopback、link-localへのリクエストをブロックします。
  • 悪用防止のためのIP単位レートリミット。送信時にhCaptchaを任意で挿入できます。

SSL証明書のFAQ

標準ポート以外もチェックできますか?

できます。host:port形式で入力してください。例: mail.example.com:993(IMAPS)、vpn.example.com:8443。デフォルトポートは443です。

ブラウザは警告しないのにテストでは期限切れと出るのはなぜ?

Webサーバーがホスト名に対しSNIで別の証明書を返している可能性が高いです。正しいサブドメインをテストしているか、サーバーが正しくSNIを実装しているかを確認してください。

社内ドメインでテストが失敗するのはなぜ?

Checkerは Frankfurtで稼働し、公開到達可能なホストのみをチェックできます。プライベートIP(10.x、192.168.x、172.16-31.x)、loopback、link-localは意図的にブロックされます(SSRF対策)。

どのくらいの頻度でチェックすべき?

自動更新(Let's Encrypt + cronjob)があるなら、セットアップ後の1回とuptime監視で十分です。自動化なしなら少なくとも30日ごとに手動でチェックしてください。

サブドメインやメールサーバーの証明書もチェックできますか?

はい、任意のホスト名がサポートされます。メールサーバーはsmtp.example.com:25やimap.example.com:993でチェックできます。テストは適切なSNIで綺麗なTLSハンドシェイクを行います。

'self-signed certificate' という通知はどういう意味?

サーバーが信頼されたCAではなく自身で証明書を署名しています。ユーザーが手動で信頼ストアに追加しない限りブラウザは受け入れません。本番環境では必ず実在するCAを使ってください。

KernelHostが推奨する鍵長は?

RSA 2048 bitを最低、長期証明書はRSA 3072または4096 bit、パフォーマンス重視ならECDSA P-256(署名が大幅に小さく、ハンドシェイクが速い)。RSA 1024以下は数年前から禁止されておりブラウザは拒否します。

DV、OV、EVの違いは?

DV(Domain Validation)は申請者がドメインを管理していることのみ確認(Let's Encryptのデフォルト)。OV(Organization Validation)は加えて会社を審査(商業登記簿抜粋)。EV(Extended Validation)は最も厳格で実所在地検証を含みます。2019年以降ブラウザは視覚的差を表示しなくなったため、99%のケースでDVで十分です。

KernelHost 全製品

ツール以上のものが必要ですか?商用ホスティングのラインナップをご覧ください。

KVM-Rootserver から 4,99 €/月 Dedicated-Server から 69,99 €/月 Minecraft-Server から 4,00 €/月 Webhosting から 3,99 €/月 Private VPN-Server 専用 IP DDoS 保護 3.2 Tbps Arbor