はじめに

Web アプリ構築の際、某セキュリティソフトがこのサイトは信頼できないよという警告を出してきました。

念のため確認してみたところ、どうやら ALB の証明書設定ミスが原因でした。。

証明書の確認

まず、サーバーがどの証明書を返しているかを確認します。
以下のコマンドを実行します。

openssl s_client -connect api.hogehoge.com:443 -showcerts

出力結果の一部がこちらです。

Connecting to XX.XX.XX.XX
CONNECTED(000001C4)
depth=2 C=US, O=Amazon, CN=Amazon Root CA 1
verify return:1
depth=1 C=US, O=Amazon, CN=Amazon RSA 2048 M04
verify return:1
depth=0 CN=dev-api.hogehoge.com
verify return:1

CN の部分を見ると、 違うドメインの証明書を返している・・・

原因

HTTPS リクエスト を ALB に送っていたのですが、ALB のリスナー設定で指定していた証明書 ARN が別ドメインのもの となっておりました・・・

そのため、アクセス先と異なる証明書が返され、セキュリティソフトが信頼できないと判断したわけですね。

対処

詳細は省きますが、「EC2→ ロードバランサー → 対象の ALB リスナー設定から変更」で対処可能です。

まとめ

• セキュリティソフトの警告は、API サーバーの設定ミスでも発生することがある。
• 複数ドメインを扱う場合は、証明書の指定に気をつけ、設定後の確認を怠らない。