Troubleshoot
SSL 証明書が期限切れになった時の対処
最終更新: 2026-04-24
症状
独自ドメインの HTTPS アクセスで 'この接続ではプライバシーが保護されません' エラーが出ている
- Chrome で NET::ERR_CERT_DATE_INVALID が表示される
- Safari / Firefox で安全性の警告ページが前面に出る
- 検索セーフブラウジングでも警告対象となり順位下落リスクあり
- HSTS preload が有効な場合、ユーザー側で回避不可
想定される原因
- 1
自動更新の失敗(Let's Encrypt 等)
certbot や Caddy の自動更新が止まっていた。ログを見れば原因が判明する。
確認: certbot renew --dry-run / journalctl -u caddy / /var/log/letsencrypt/
- 2
CDN 前段での HTTP-01 challenge 失敗
Cloudflare Proxy ON の環境で HTTP-01 が通らなくなった。DNS-01 に切替が必要。
確認: /tools/ssl-check で issuer / validTo を確認
- 3
CA のレート制限
50 certs / week / domain 制限に到達。Staging 利用か時間経過で回復。
確認: letsencrypt.log に rate limit のエラー文言
- 4
支払い失敗 / 更新見落とし(商用 CA)
商用 SSL を使っている場合、支払い処理が止まって失効しているケース。
確認: CA(DigiCert 等)管理画面で請求ステータス確認
対処手順
- /tools/ssl-check で現在の証明書状態を確認
- Let's Encrypt の場合は certbot renew --force-renewal を実行
- reload: systemctl reload nginx(または caddy reload)で新証明書を反映
- HSTS が強い場合はユーザーキャッシュが残るため、ユーザーアナウンスも併用
- Infra Ops Hub Monitor に SSL 監視を登録し、30/14/7/1 日前に通知を受ける
再発を防ぐ
同じ障害を繰り返さないために、期限監視 / 自動通知の設定を推奨します。
SSL 期限監視を登録する(無料 3 件)よくある質問
期限切れから何時間以内に復旧すべき?
SEO 影響を最小化するには数時間以内が理想。HSTS preload 状態なら即時対応必須。
Let's Encrypt の証明書を急ぎで発行するには?
certbot --force-renewal を実行し、post-hook で reload。再発防止は監視+自動更新ログの監視。
再発防止の監視ツールは?
/compare/ssl-monitoring-tools を参照。Infra Ops Hub Monitor は無料 3 件 + 30/14/7/1 日前通知。