IISサーバのみに起因する特有の問題について

【ご注意】

本ご案内は、Microsoft IIS サーバーを利用している場合で、かつ証明書のルートが Sectigo Public Server Authentication Root R46 に基づいている環境にのみ該当します。
IIS以外のWEBサーバーをご利用の方、またはご利用の証明書ルートがR46やE46以外のものの場合は、本内容は適用されませんので読み飛ばしていただいて問題ありません。

事象の概要

最新の環境では正常に動作するにもかかわらず、古い端末や更新の行き届いていないクライアントからアクセスするとSSL接続が失敗するケースが確認されています。

原因

SSL証明書の運用では、新旧の環境を両立させるために「クロスルート証明書」が用意されます。
これにより、新しい端末は最新のルートを、古い端末は従来のルートを利用して、環境ごとに適切な証明書チェーンを形成できる仕組みになっています。

しかし IIS サーバーには挙動上の不具合があり、本来クライアントごとに選択されるべき証明書経路を、サーバー側が自動的に決定してしまうという問題があります。
その結果、古い端末が必要とするクロスルート経由のチェーンが利用されず、接続エラーが発生することがあります。

回避策

この問題を避けるには、IISサーバーで新しいルート証明書を一時的に無効化し、強制的にクロスルートを利用させる方法が有効です。

設定手順（R46ルート証明書を対象とする場合）

1. 管理者権限で MMC を起動
   　Windowsの検索から「mmc」と入力して実行してください。

2. 証明書スナップインを追加

   ・[ファイル] → [スナップインの追加と削除] を選択
   ・「証明書」を追加し、「コンピュータアカウント」→「ローカルコンピュータ」を選択

3. 対象ルート証明書を無効化

   ・「信頼されたルート証明機関」→「証明書」を開きます
   ・Sectigo Public Server Authentication Root R46 を選び、「信頼されていない証明書」ストアへ移動します

---

効果

この対応を行うことで、古い端末でもクロスルート証明書を利用して正しい信頼チェーンが構築されるようになり、SSL接続エラーを回避できます。

• 
• 
• 
•