SSLホスト名不一致エラーの修正方法

ホスト名不一致とは、証明書にクライアントが要求した正確なホストが含まれていないことを意味します。中間者攻撃を防ぐため、ブラウザとAPIクライアントはこれを拒否します。

典型的な不一致パターン

• 証明書にwww.example.comが含まれるが、リクエストはexample.com向け。
• ステージング用ホスト向けに発行された証明書を本番にインストールした。
• ワイルドカードがapexをカバーすると想定（ルートドメインはカバーされない）。

修正チェックリスト

1. 提供するすべてのホスト名を一覧化（example.com、www、サブドメイン）。
2. 各ホスト名に正しいSANエントリを含む証明書を発行/再発行する。
3. アクティブなエッジ/プロキシノードに証明書と完全なチェーンをインストールする。
4. HTTPSリダイレクトを検証し、トラフィックがカバーされたホスト名のみに到達するようにする。
5. 次で再テスト： ウェブサイトチェッカー とブラウザ。

ワイルドカードの注意

*.example.comはapi.example.comのようなサブドメインをカバーしますが、example.comはカバーしません。両方を提供する場合は、SANに両方の名前を含めてください。

不一致が断続的に現れる場合

• 古い証明書を持つノードがないかロードバランサープールを確認する。
• すべてのリージョンでCDNエッジのデプロイ状況を確認する。
• 自動化が1つの証明書を更新したのに別の証明書をデプロイしていないか確認する。

SSLは正常だがダウンタイムコードが続く場合は、 5xxトラブルシューティングガイドを参照してください。