ブラウザで sec_error_unknown_issuer(Firefox / Opera)や NET::ERR_CERT_AUTHORITY_INVALID(Chrome / Edge)などの証明書エラーが表示される場合、原因は Web サーバに中間証明書がインストールされていないことです。すべてのブラウザで同様のエラーが発生します。本ページでは原因の仕組みと対処法をご案内します。
- 原因:中間証明書(intermediate certificate)が Web サーバに未設定
- 対処:中間証明書をサーバ証明書と一緒に設定(フルチェーンで配置)
- すべてのブラウザで発生する事象です
🌐 ブラウザ別のエラーメッセージ
中間証明書がない場合、ブラウザによってエラーコード・メッセージは異なりますが、原因はすべて同じです。
| ブラウザ | エラーコード / メッセージ |
|---|---|
| Firefox | sec_error_unknown_issuer |
| Opera | sec_error_unknown_issuer または NET::ERR_CERT_AUTHORITY_INVALID |
| Chrome | NET::ERR_CERT_AUTHORITY_INVALID |
| Microsoft Edge | NET::ERR_CERT_AUTHORITY_INVALID |
| Safari | 「この接続ではプライバシーが保護されません」 |
| Internet Explorer(旧) | 「この Web サイトのセキュリティ証明書には問題があります」 |
🔍 なぜ警告が出るのか:証明書チェーンの仕組み
SSL/TLS 証明書は、「サーバ証明書 → 中間証明書 → ルート証明書」という階層構造(証明書チェーン)で信頼性を担保しています。
┌─────────────────────────┐
│ ルート証明書(CA Root) │ ← ブラウザに事前インストール
└────────┬────────────────┘
│ 署名
↓
┌─────────────────────────┐
│ 中間証明書(Intermediate) │ ← サーバに配置が必要!
└────────┬────────────────┘
│ 署名
↓
┌─────────────────────────┐
│ サーバ証明書(Server) │ ← サーバに配置(これだけだと NG)
└─────────────────────────┘ブラウザは「サーバ証明書 → 中間証明書 → ルート証明書」と辿り、ルート証明書まで到達できれば信頼します。途中の中間証明書がないと、チェーンが切れて検証失敗するため、エラーが表示されます。
中間証明書がなくても、Chrome や Safari の一部バージョンでは、自動で中間証明書を取得して通信を継続することがあります。しかしFirefox や古いブラウザ・スマートフォンはこの自動補完を行わないため、警告が表示されます。すべての環境で動作させるには、必ず中間証明書を設定してください。
🛠 対処方法:中間証明書をインストール
当社からは、SSL/TLS 証明書発行時に サーバ証明書 + 中間証明書のセットを提供しています。Web サーバの設定で、両方を正しく配置してください。
方法 1:フルチェーン形式のファイルを使う(推奨)
サーバ証明書と中間証明書を結合した「フルチェーン」ファイル(fullchain.pem)を使うのが最も簡単です。
# Apache(httpd.conf / ssl.conf)
SSLCertificateFile /path/to/cert.pem
SSLCertificateKeyFile /path/to/private.key
SSLCertificateChainFile /path/to/intermediate.pem
# または Apache 2.4.8 以降ならフルチェーンを使う方法も可能
SSLCertificateFile /path/to/fullchain.pem
SSLCertificateKeyFile /path/to/private.key# Nginx
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/private.key;方法 2:IIS(Windows)の場合
IIS では、サーバ証明書のインポート時に中間証明書も自動で読み込まれます。「中間証明機関」ストアに中間証明書が登録されているか確認してください。
🔍 中間証明書の設定確認方法
中間証明書が正しく設定されているかは、以下の方法で確認できます。
方法 1:SSL Labs SSL Test
SSL Labs SSL Test に URL を入力すると、証明書チェーンの設定状況を診断できます。「Chain issues」が「None」または「Contains anchor」になっていれば OK です。
方法 2:OpenSSL で確認
# サーバから証明書チェーンを取得
openssl s_client -connect www.example.com:443 -showcerts
# 出力に複数の証明書(--BEGIN CERTIFICATE--)があれば
# 中間証明書も配信されています方法 3:当店ツールで確認
当店の 証明書解析ツール から、証明書チェーンの内容を確認できます。
⚠️ Firefox が特にこのエラーを表示する理由
Firefox は、Chrome や Safari と異なり、中間証明書の自動補完機能(AIA Fetching)を制限しているブラウザです。サーバ証明書から中間証明書の取得 URL が記載されていても、Firefox は基本的に取得しに行きません。
| ブラウザ | 中間証明書の自動補完 |
|---|---|
| Firefox | ❌ 制限している(エラー表示) |
| Opera | ❌ 制限している場合あり |
| Chrome | ✅ 一部対応(条件あり) |
| Safari | ✅ 対応 |
| Edge | ✅ 対応 |
このため、「Chrome では大丈夫だが Firefox ではエラー」という状況が発生します。
Chrome や Safari で警告が出なくても、Firefox や古いブラウザ・スマートフォン・IoT 機器ではアクセスできない可能性があります。中間証明書は必ず設定してください。
🤖 ACME 自動更新なら中間証明書の設定も自動
ACME プロトコルによる自動更新では、中間証明書を含むフルチェーン形式で証明書が自動配置されます。手動で中間証明書を設定する手間がないため、設定ミスによるエラーを根本から防げます。
47 日ルール時代(2026 年〜)では、頻繁な証明書更新時に中間証明書の更新も必要になります。ACME 自動更新で運用を効率化することをおすすめします。
💡 関連するご質問
| ご質問 | 対応 |
|---|---|
| 中間証明書とは何? | 中間証明書とはをご参照ください |
| 中間証明書はどこでダウンロードする? | 証明書発行時に当社からセットで提供しています |
| サイト名と一致しない警告とは違う? | はい、別の原因です。こちらをご参照ください |
| ACME を使えば自動? | はい、ACME クライアントが自動でフルチェーン配置します |
| 古いブラウザでも対応したい | クロスルート対応の証明書をご検討ください |