ValuesSSL Sectigo(COMODO)製品につきまして一部の古い端末でSSL接続が失敗する（IISサーバー特有の問題について）

お客様　各位

2025年10月31日
ZERONET株式会社

平素はValueSSLをご利用いただきありがとうございます。

本件はSectigo(COMODO)証明書を2025年6月以降に取得してIISでクロスルート設定をした際に発生する問題とその回避策をお知らせしております。
WEBサーバがIISでない方、及び発行された証明書のルートがR46やE46ではない方は本件の対象外ですのでお読みいただく必要はありません。

■現象
2025年6月以降にSectigo社(COMODO)の証明書を取得してIISにインストール(クロスルート設定を伴う)したが
一部の古い端末でSSL接続が失敗する。(クロスルートが正しく機能していない)

■原因
この問題は、Microsoft IISサーバーに特有の不具合が原因です。

SSL/TLS証明書の認証局のルート証明書の変更時は、新しいルート証明書に切り替えつつ古い端末の互換性も維持するため、クロスルート証明書が提供されることがよくあります。

クロスルート証明書を設定することにより
新しいルート証明書を搭載した最新端末は新しいルート証明書経路を選択し、新しいルート証明書を搭載していない古い端末は古いルート証明書経路を選択し、それぞれが正しい信頼チェーンを構築できる仕組みです。

しかしながらIISサーバーは TLSハンドシェイクの際に、本来はクライアント端末が選択すべきであるルート証明書の経路をIIS側で先に確定してしまいます。
これにより古い端末が必要とするクロスルート経由の証明書経路を利用することができず、接続エラーを引き起こすことがあります。

■回避策
IISサーバー本体で新しいR46ルートを一時的に「許可しない」ようにし、クロスルート証明書を使用してクライアントに提供する方法が有効です。

設定の詳細につきましては
セクティゴジャパン社様の下記のページをご参照下さい。
https://comodo.jp/support/dtl_81