期限切れ間近の SSL/ドメイン: 2 時間で P1 を処理する方法と再発を防ぐための SOP

1) 簡単な特定: どのようなエラーが発生していますか?

ブラウザの表示

• 「安全ではありません」 (HTTP または SSL の有効期限が切れています)。

• 「NET::ERR_CERT_DATE_INVALID」 (SSL の有効期限が切れている/間違っています)

• 「NET::ERR_CERT_COMMON_NAME_INVALID」（ホスト名が一致しません）。

• 「HSTS エラー」（HSTS が有効になっており、SSL が失敗するとブラウザがアクセスを禁止します）。

DNS/ドメイン層で表示

• アクセス場合によっては機能し、「駐車」ページに切り替わります。

• ドメインバウンスに応じたメール (MX/DNS 期限切れ)。

• WHOIS はドメイン期限切れ/保留中を報告します。

優先

• P1: ストア/注文/ログインアクセスできません。証明書/HSTS/ドメイン エラーが発生しました。

• P2: セカンダリ リソース (イメージ/セカンダリ CDN) 混合エラー コンテンツ。

1 — 実際のステータスを確認します (10')

• 別の 4G/ISP で https:// と http:// を開き、キャッシュを非表示にします (Ctrl/Cmd + Shift + R）。

• SSL Labs/Why No Padlock などのツールで SSL を確認します（証明書チェーン、有効期限、中間を確認します）。

• WHOIS ドメイン (有効期限)、DNS (NS/A/CAA)、CDN/WAF を確認します。 (Cloudflare/…)。

ステップ 2 — リカバリ パスの決定 (15')

• ホストによって管理される SSL (cPanel/Plesk/マネージド ホスティング)
  → パネルにログインし、再発行/AutoSSL/Let's Encrypt。

(Cloudflare)
→ 電源をオンにします。 「完全 (厳密)」 では、オリジン証明書を作成してサーバーにインストールするか、オリジンで Let’s Encrypt を再発行します。

ステップ 3 — 証明書の更新/再発行 (20 ～ 30 分)

• Let’s Encrypt (HTTP-01)

  • 開くポート 80/443、WAF/キャプチャが存在する場合はボットのブロックをオフにします。

  • certbot renew --force-renewal または certbot certonly --nginx/--webroot。

• Let's Encrypt (DNS-01) (ポート 80/443 またはワイルドカードをブロックする場合)

  • ACME クライアントの指示に従って TXT レコードを作成 → 証明書ワイルドカード *.domain.com を発行します。

• 商用 CA

  • 新しいCSRを作成します。 (2048/3072 ビット)、検証 (DNS/電子メール/HTTP)、証明書 + 中間チェーンをロードします。

  • vHost/Nginx/Apache ポイントを更新して fullchain.pem を修正 + privkey.pem.

HSTS に注意してください: HSTS が有効になっている場合、ブラウザは SSL 障害中に HTTP アクセスを許可しません。したがって、HSTS を無効にせず、できるだけ早く適切なチェーンで SSL を更新してください。

ステップ 4 — サービスのテストとリロード (10')

• Nginx/Apache リロード: nginx -t && systemctl reload nginx または apachectl configtest && systemctl reload httpd.

• SSL Labs で南京錠/ポイント A を確認します。

• 混合コンテンツを編集します (画像/js/css URL は http:// のままです):

  • 301 HTTP→HTTPS を設定します。 (サイト全体)。

  • コード/DB での検索と置換 (WordPress: wp search-replace を使用)。

  • プロトコル相対または https://絶対を使用します。

ステップ 5 — ドメインが期限切れになる/期限切れになる(10 ～ 20 分)

• ドメインの有効期限が切れる / 有効期限が切れる場合: レジストラにログイン → 1 ～ 3 年更新します。

• プロバイダーを分離する場合はプライバシー/DNS ホスティングを更新します。

• ネームサーバーを確認します。 & A/AAAA は変更されません。伝播 ~ 数分 → 24 時間。

ステップ 6 — スモーク テストとログ (10 分)

• テスト: ホーム ページ、カート/チェックアウト、ログイン、支払い Webhook、トランザクション電子メール。

• 修正時間、根本原因をログに記録 → SOP を更新。

3) 予防的SOP (再発防止のため)

3.1 サイクルと自動化化学物質

• 自動更新ドメイン: 自動更新 + 2 つのバックアップ支払い方法を有効にします。 T-30/T-7/T-1 を要求します。

• SSL の自動更新:

  • Let's Encrypt 60 ～ 90 日; cron: certbot 更新 日付午前 2 時。

    日のときにアラートを送信します。

  • 商用 CA: リマインダー T-30 + 所有者/請求のスケジュールを設定します。

• CAA レコード: 有効な CA (例: 0 issue "letsencrypt.org") を指定し、不正行為を回避します。

3.2 「壊れていない」インフラストラクチャが壊れています」

• リダイレクト 301 が必要: HTTP→HTTPS、非 www↔www 統合。

• クリーン チェーン: 常に CA から中間をインストールします。毎回確認してください。更新。

• HSTS:

  • サイトが 100% SSL で安定した後 (コンテンツが混在していない状態) にオンにします。

  • max-age は最初は低く (1 ～ 7 日)、その後6 ～ 12 か月まで徐々に長くなります。準備ができました。

• クロック: サーバーのNTPを同期します (クロックが間違っていると、SSL が「期限切れ」になることもあります)。

• モニタリング:

  • 稼働時間 + SSL 期限切れ (PagerDuty/UptimeRobot): 警告<14 日間。

  • 5 ～ 10 分ごとに ping を送信してトランザクション (チェックアウト/ログイン) を確認します。

3.3 運用と責任

• 資産簿: ドメイン、DNS、CDN、ホスティング、SSL、有効期限、連絡先

• 分散化: 所有者/請求/技術の分離。管理者は 2FA が必須です。

• P1 ハンドブック: P1 ナイト/WE スタッフがすぐに実行できるようにするためのパート 2 の短縮版。

4) 簡単な質問(FAQ)

期限切れの SSL は SEO の問題を引き起こしますか?
おそらく、ボットはクロールできますが、ユーザーが離脱し、CTR、滞留時間、コンバージョンが信号品質に低下します。

Cloudflare を使用していますが、オリジンに SSL をインストールする必要がありますか?
完全 (厳密) を使用する必要があります。 Cloudflare の SSL は、オリジンで Origin Certificate/Let's Encrypt をインストールします。混合コンテンツ/リダイレクト ループが簡単に作成される可能性があるため、「フレキシブル」は避けてください。

問題が発生した場合は HSTS をオフにする必要がありますか?
いいえ。ブラウザが HSTS を記憶している場合、オフにすることはすぐには機能しません。証明書。

ワイルドカードかどうか?
複数のサブドメインがある場合は、ワイルドカード (DNS-01) を選択します。www + root だけの場合は、単一の証明書で十分です。

5) 運用チーム用のチェックリスト「壁紙」

P1 — 復元すぐに

1. 実際のチェック: HTTPS、チェーン、ブラウザエラー、WHOIS。

2. SSL を再発行/更新します (Let’s Encrypt/CA/Cloudflare Origin)。

SSL + 有効期限切れの警告。
7) CAA を追加/調整し、クロック/NTP を確認します。
8) 安全な HSTS をオンにします (最大有効期間が小さい)。

P3 — 週中
9) トランザクション監視と ping を追加します。
10) アセットブックと四半期ごとの P1 ドリルの更新。

6) クイック導入の提案 (WordPress/クラウド)

WordPress + Nginx

# 証明書の有効期限を確認します。
sudo certbot 証明書

# 緊急延長
sudo certbot 更新 --force-renewal

# またはサーバーブロックに応じた新しいリリース
sudo certbot --nginx -d ドメイン.com -d www.domain.com

# チェック＆リロード
sudo nginx -t && sudo systemctl reload nginx

Cloudflare (オリジン TLS)

1. SSL/TLS → 完全 (厳密)

2. オリジン証明書 → 作成 → ウェブサーバーに証明書 + キーをインストール

3. ページ ルール/リダイレクト ルール: HTTP→HTTPS (301)

7) 「消防隊」が必要な場合

サイトが生命の源 (注文/予約) である場合、1 時間ごとに「安全ではありません」 = 収益の損失 + 信頼の損失 が生じます。次のことができます:

• ウェブサイト メンテナンス & レスポンス パッケージを開始して、24 時間年中無休の P1 オンコール、明確な SLA、有効期限/稼働時間の自動監視を実現します: ウェブ メンテナンス サービス – Tan Phat Digital.

• 再発を防止するには、月次メンテナンス プロセスを参照してください（SSL/ドメイン、バックアップ、CWV、セキュリティを確認してください）。問題があります。