この接続ではプライバシーが保護されません |
Nexus 5のChromeブラウザからアクセスすると「この接続ではプライバシーが保護されません」という警告が出る。ERR_CERT_AUTHORITY_INVALIDという事なので、StartSSLのサーバSSL証明書を発行した「StartCom Class 1 Primary Intermediate Server CA」を知らないので信頼できないと仰せらしい。
取り敢えず、Index of /certsから「サーバ用中間CA」の証明書sub.class1.server.ca.crtをダウンロードした後、Google Driveにアップロード。証明書を管理するに従って、
設定アイコン > [ユーザー設定] > [セキュリティ] > [認証情報ストレージ] > [ストレージからのインストール]てな具合にインストールすれば良い。
でもSSLCertificateFileには「StartCom Class 1 Primary Intermediate Server CA」の中間証明書も結合したのを置いているので大丈夫なはず。現に先月調達したiPad mini 2では中間証明書のインストール抜きでもOKなのだけれど、なぜAndroidではうまくいかないのかな…
てな具合になかなか一筋縄ではいかないのがSSL。何かにつけて罠があったりいろいろと面倒が多いので、Let's Encrypt プロジェクトの「2015 年の第二四半期の運用開始」が前倒しになるよう応援したい。
【12/17追記】
# cd /usr/share/ca-certificates/startssl/という具合に「StartCom Class 1 Primary Intermediate Server CA」の中間証明書と「StartCom Certification Authority」のルート証明書を結合した/etc/ssl/certs/server-ca.crtを作成し、/etc/apache2/sites-available/mail.bravotouring.com.confの「SSLCertificateChainFile」で指定する事でNexus 5のChromeブラウザでも警告が出ないようになった。
# cat sub.class1.server.ca.pem startssl.ca.pem > server-ca.crt
# ln -s /usr/share/ca-certificates/startssl/server-ca.crt /etc/ssl/certs/server-ca.crt
【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┣証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」2015年夏開始 2014年11月19日
┗【清水理史の「イニシャルB」】 HTTPSでデータを納品したい! StartComの無料SSLサーバー証明書をNASで使う 2014年12月8日
●Nexus ヘルプ https://support.google.com/nexus/
┗証明書を管理する
●StartSSL™ http://www.startssl.com/
┗Index of /certs
●Wikipedia http://ja.wikipedia.org/wiki/
┣CAPTCHA
┗ReCAPTCHA