Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する

現象

FireFoxでLet's Encryptを利用したSSLサイトにアクセスすると下図の「安全な接続ではありません」エラーメッセージが表示されます。Internet Explorer, Chrome, Microsoft Edge, Mobile Safari などの他のブラウザでは問題なくアクセスできます。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像1

Let's Encryptを利用したSSLサイトでも、2016年3月以前に作成したSSLサイトではFireFoxでも問題なくアクセスできます。

原因

Let's Encryptが正式版に移行した際に、証明書をサイニングする中間証明機関が、"Let’s Encrypt Authority X1" から "Let’s Encrypt Authority X3"に変更されたことが原因のようです。"Let’s Encrypt Authority X1"と"Let’s Encrypt Authority X3"の両方の証明書がインストールされていると、"Let’s Encrypt Authority X3"を"Let’s Encrypt Authority X1"に取り違えてしまうことが原因と考えられています。

2016年の3月上旬に作成したLet's EncryptのSSL証明書です。公開ベータ版のSSL証明書は、"Let’s Encrypt Authority X1"が発行者になっています。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像2

2016年の5月に作成したLet's EncryptのSSL証明書です。正式版のSSL証明書は、"Let’s Encrypt Authority X3"が発行者になっています。

対処法

"Let’s Encrypt Authority X1"の証明書を削除します。サーバーにベータ版のSSL証明書を持つサイトと正式版のSSL証明書を持つサイトが存在する場合は、すべて正式版のSSL証明書に更新します。

コントロールパネルで、「証明書」で検索し、[コンピューターの証明書の管理]をクリックします。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像4

[certlm]のウィンドウが表示されます。

[中間証明機関]のノード内の[証明書]ノードを選択します。下図の画面が表示されます。、"Let’s Encrypt Authority X3"と"Let’s Encrypt Authority X1"の両方の証明書がインストールされていることが分かります。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像6

"Let’s Encrypt Authority X1"の証明書をクリックして選択します。右クリックしポップアップメニューを表示します。メニューの[削除]をクリックして選択します。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像7

下図の削除確認ダイアログが表示されます。[はい]ボタンをクリックして証明書を削除します。

"Let’s Encrypt Authority X1"の証明書が削除できました。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像9

サイトの証明書のバインドを再度実行します。[インターネットインフォメーションサービス (IIS) マネージャー]を起動し、[サイト]ノード内の対象サイトをクリックして選択し、右クリックします。ポップアップメニューが表示されるので[バインドの編集]メニューをクリックします。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像10

[サイトバインド]ウィンドウが表示されます。SSLサイトを選択し[編集]ボタンをクリックします。

[サイトバインドの編集]画面が表示されます。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像12

[SSL 証明書]のコンボボックスをクリックします。一度[未選択]の項目を選択します。

もう一度コンボボックスでSSL証明書を選択します。ダイアログ下部の[OK]ボタンが押せる状態になりますので、OKボタンをクリックしてダイアログを閉じます。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像14

[インターネットインフォメーションサービス (IIS) マネージャー]で対象のサイトをクリックして右クリックし、ポップアップメニューを表示します。メニューの[Web サイトの管理]メニューの[再起動]をクリックしてサービスを再起動します。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像15

FireFoxでサイト表示を確認します。SSLのエラーメッセージがなくなりました。

上記でも改善しない場合は、Webサーバーのマシンを再起動して、再度確認します。

Let’s Encrypt Authority X3 の中間証明機関の証明書がインストールされていない場合

[certlm]で Let’s Encrypt Authority X3 の中間証明機関がインストールされていない場合は、以下の手順でLet’s Encrypt Authority X3 の中間証明書をインストールします。

Let’s Encrypt プロジェクトの証明書ページ (https://letsencrypt.org/certificates/)にアクセスします。
下図のページが表示されます。ページから"Let’s Encrypt Authority X3 (IdenTrust cross-signed)" の証明書をダウンロードします。(pem または der 形式のものをダウンロードします。)
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像17

証明書がダウンロードできます。

Webサーバーのマシンで証明書ファイルをダブルクリックします。下図の[証明書]ダイアログが表示されます。ダイアログ内の[証明書のインストール]ボタンをクリックします。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像19

[証明書のインポートウィザード]ダイアログが表示されます。

保存場所の項目を[ローカルコンピューター]に選択します。ダイアログ下部の[次へ]ボタンをクリックします。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像21

[証明書ストア]の画面が表示されます。[証明書をすべて次のストアに配置する]ラジオボタンをクリックして選択します。証明書ストアの右側の[参照]ボタンをクリックします。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像22

[証明書ストアの選択]ダイアログが表示されます。一覧から[中間証明機関]を選択します。選択後[OK]ボタンをクリックしてダイアログを閉じます。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像23

[証明書ストア:]に"中間証明機関"が選択されます。[次へ]ボタンをクリックします。

[証明書インポートウィザードの完了]画面が表示されます。ダイアログ下部の[完了]ボタンをクリックします。
Let's Encrypt を利用したSSLサイトにFirefoxでアクセスすると証明書エラーが発生する:画像25

証明書のインポートが完了すると、下図の「正しくインポートされました」ダイアログが表示されます。

以上の手順で、Let’s Encrypt Authority X3 の中間証明機関の証明書のインストールができました。