Compare Revisions

読み込み 接続 ブロック

HTTPS のウェブサイトでのエラーコード SEC_ERROR_UNKNOWN_ISSUER および MOZILLA_PKIX_ERROR_MITM_DETECTED, ERROR_SELF_SIGNED_CERT について学び、その解決方法を紹介します。

安全に暗号化されているウェブサイト (URL が "http'''s'''://" で始まるサイト) では、そのウェブサイトにより提示されている証明書の正当性を Firefox が検証します。証明書が検証できない場合、Firefox はそのウェブサイトへの接続を中止し、代わりに「警告: 潜在的なセキュリティリスクあり」というエラーページを表示します。{button 詳細情報} ボタンをクリックすると、Firefox が遭遇しているエラーの詳細を表示できます。 この記事は、エラーページで SEC_ERROR_UNKNOWN_ISSUER や MOZILLA_PKIX_ERROR_MITM_DETECTED、ERROR_SELF_SIGNED_CERT のエラーコードが表示される理由と、その解決方法について説明します。 {note}「警告: 潜在的なセキュリティリスクあり」というエラーページの他のエラーコードについては、[[What do the security warning codes mean?]] の記事をご覧ください。''安全な接続ができませんでした'' や ''接続中止: 潜在的なセキュリティ問題'' のエラーページについては、[[Secure connection failed and Firefox did not connect]] の記事をご覧ください。{/note} __TOC__ = このエラーコードの意味は？ = 安全な接続を行う間、ユーザーの接続先が意図した相手であり接続が暗号化されていることを確かにするため、ウェブサイトは信頼された [https://ja.wikipedia.org/wiki/%E8%AA%8D%E8%A8%BC%E5%B1%80 認証局] (Certificate Authority) により発行された証明書を提示しなくてはなりません。「警告: 潜在的なセキュリティリスクあり」というエラーページで {button 詳細情報...} のボタンをクリックし、エラーコードに SEC_ERROR_UNKNOWN_ISSUER または MOZILLA_PKIX_ERROR_MITM_DETECTED と表示された場合、これは、Firefox が知らない認証局により発行された証明書が提示されており、そのページは信頼できないことを意味します。 [[Image:Fx101Warning-SEC_ERROR_UNKNOWN_ISSUER-ja]] = 複数の安全なサイトでエラーが発生する = 複数の互いに関係のない HTTPS サイトでこの問題が起こる場合、あなたのシステムまたはネットワーク上の何者かが接続に割り込み、Firefox により信頼されていない方法で証明書を注入していることを示します。多くの原因は、暗号化された接続またはマルウェアの盗聴をスキャンするため、セキュリティソフトウェアが正当なウェブサイトの証明書を独自のものに置き換えていることです。特に、MOZILLA_PKIX_ERROR_MITM_DETECTED のエラーコードは、Firefox が接続妨害を検知したことを示します。 == ウイルス対策製品 == サードパーティのウイルス対策ソフトは、Firefox の安全な接続を妨げることがあります。{for winxp,win7,mac,linux}セキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。{/for} {for win8, win10} サードパーティ製ソフトをアンインストールし Microsoft により提供される Windows のセキュリティソフトを使用することを推奨します。 * Windows 8 とWidnwos 10 - Windows Defender ([https://www.microsoft.com/windows/comprehensive-security 組み込み]) サードパーティ製ソフトをアンインストールしたくない場合、セキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。 {/for} セキュリティ製品ごとに、いくつかの解決策があります: === Avast/AVG === Avast または AVG のセキュリティ製品では、安全な接続への割り込みを無効にしてください: # Avast または AVG アプリケーションのダッシュボードを開いてください。 # {menu メニュー} を開き、{menu 設定} > {menu プロテクション} > {menu メイン シールド} の順にクリックします。 # シールド設定のセクションまで下へスクロールし、{menu ウェブ シールド} をクリックします。 # {menu HTTPSスキャンを有効にする} 設定のチェックを外し、確認の {button OK} ボタンをクリックします。 #;{note}この製品の古いバージョンでの相当するオプションは、{menu メニュー} > {menu 設定} > {menu コンポーネント} の順に開き、{menu ウェブシールド} の横の {button カスタマイズ} をクリックします。{/note} 詳しくは、Avast のサポート記事 [https://support.avast.com/ja-jp/article/189/ アバスト アンチウイルスの ウェブシールドの HTTPS スキャンの管理] をご覧ください。この機能についての詳しい情報は、[https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast Blog] (英語) をご覧ください。 === Bitdefender === Bitdefender のセキュリティ製品では、安全な接続への割り込みを無効にしてください: # Bitdefender アプリケーションのダッシュボードを開いてください。 # {menu Protection} をクリックし、{menu Online Threat Prevention} セクション内の {menu Settings} をクリックします。 # {pref Encrypted Web Scan} 設定をクリックしてオフに切り替えます。 #;{note}この製品の古いバージョンでの相当するオプションは、{menu モジュール} から {menu Web 保護} を開き、{pref SSL スキャン} 設定をオフに切り替えます。{/note} Bitdefender Antivirus Free では、この設定を変更することができません。安全なウェブサイトへのアクセス時に問題が起こったときは、代わりに [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html プログラムの修復または削除] を試してください。 企業向けの Bitdefender 製品については、[http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender Support Center ページ] (英語) を参照してください。 === Bullguard === Bullguard セキュリティ製品は、Google、Yahoo、Facebook のような主要なサイトで安全な接続の盗聴を無効化できます: # Bullguard アプリケーションのダッシュボードを開きます。 # {menu Settings} をクリックし、パネルの右上の {pref Advanced} ビューを有効にします。 # {menu Antivirus} > {menu Safe browsing} の順に開きます。 # エラーメッセージが表示されるウェブサイトの {menu Show safe results} オプションのチェックを外します。 === ESET === ESET セキュリティ製品では、{pref SSL/TLS protocol filtering} 設定をいったん無効にし、再度有効にしてみてください。または、[http://support.eset.com/kb3126/ ESET のサポート記事] (英語) に書かれた手順で、安全な接続への割り込みを無効にしてください。 === Kaspersky === 影響を受ける Kaspersky ユーザーは、最新のセキュリティ製品へアップグレードしてください。Kaspersky 2019 以降のバージョンには、この問題を軽減する機能が含まれています。[https://www.kaspersky.com/product-updates Kaspersky ダウンロードページ] にある "upadte" リンクから、現在のサブスクリプションで無償で最新バージョンをインストールできます。<!-- for Japanese? https://home.kaspersky.co.jp/store/kasperjp/ja_JP/html/pbPage.support_versionup/ThemeID.37143000/lnID.2 --> それ以外のバージョンでは、安全な接続への割り込みを無効にしてください: # Kaspersky アプリケーションのダッシュボードを開いてください。 # 左下の {menu 設定} をクリックします。 # {menu 詳細} をクリックし、次に {menu ネットワーク} をクリックします。 # {menu 暗号化された接続のスキャン} セクションの {pref 暗号化された接続をスキャンする} オプションのチェックを外し、{button 適用} ボタンをクリック、{button OK} ボタンをクリックしてください。 # 最後に、変更を有効にするため、システムを再起動してください。 {for win8} == Windows アカウントのファミリーセーフティ設定 == ファミリーセーフティ設定により保護された Microsoft Windows アカウントでは、Google や Facebook、YouTube など人気のウェブサイト上の安全な接続は、Microsoft により割り込まれ、フィルタリングと検索アクティビティを記録するため、サイトの証明書が Microsoft により発行された証明書と置き換えられます。 これらのアカウントのファミリー機能をオフにする方法は、[http://windows.microsoft.com/ja-jp/windows/family-features-remove-uninstall-faq Microsoft ヘルプのページ] をお読みください。影響のあるアカウントで不足した証明書を手動でインストールしたい場合は、[https://support.microsoft.com/ja-jp/kb/2965142#bookmark-2 Microsoft サポートの記事] を参照してください。 {/for} == 企業ネットワーク内でのモニタリングまたはフィルタリング == 企業のネットワーク環境で利用されている通信をモニタリングまたはフィルタリングする一部の製品は、ウェブサイトの証明書を製品独自のものと置き換えて暗号化された接続に割り込みます。この割り込みと同時に、安全な HTTPS サイトでのエラーが発生する可能性があります。 この事例が疑われる場合は、IT 部門に問い合わせて Firefox の証明書ストアに必要な証明書が配置され、Firefox がそのような環境で正しく動作するように設定してください。IT 部門向けの詳しい情報は、Mozilla の Wiki ページ [https://wiki.mozilla.org/CA:AddRootToFirefox CA:AddRootToFirefox] をご覧ください。 == マルウェア == 一部の形態のマルウェアは、暗号化されたウェブ通信に割り込み、このエラーメッセージの原因となることがあります。[[Troubleshoot Firefox issues caused by malware]] の記事を参照し、マルウェアの問題に対処してください。 = 特定のひとつのサイトでエラーが発生する = この問題が特定のひとつのサイトでのみ起こる場合、この種類のエラーは、一般的にウェブサーバーが正しく設定されていないことを意味します。しかしながら、このエラーが Google や Facebook などの主要なサイトや金融取引が行われるサイトで起きる場合は、<!--note for localisers: adapt this link, it should point to the "The error occurs on multiple secure sites" section-->[[#w_ciiuaggoeeaeaiaccnadaececkauojeaaoao|上記の手順]] に従ってください。 == Symantec に属する認証局によって発行された証明書 == <!--Delayed? Discontinued? see discussion https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> Symantec ルート認証局によって発行された証明書の数々の不正が明らかになったのち、Mozilla を含むブラウザーベンダーは、その製品内で、その証明書を信頼しないよう徐々に削除しています。Firefox はもはや、Symantec により発行された証明書を信頼しません。これには、GeoTrust および RapidSSL、Thawte、Verisign ブランドの下で発行された証明書も含まれます。<!-- 第一段階として、Firefox 60 は 2016 年 6 月 1 日以前に発行された Symantec ルート機関へつながる証明書 (GeoTrust、RapidSSL、Thawte、VeriSign のすべての Symantec ブランドを含む) を信頼しません。Firefox 63 では、発行日にかかわらず信頼の削除が拡大されます。 --> 詳しい情報は、[https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ この Mozilla のブログ記事] (英語) をご覧ください。 この場合に表示されるエラーは MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED ですが、一部のサーバーでは代わりにエラーコード SEC_ERROR_UNKNOWN_ISSUER が表示されるでしょう。<!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 -->このエラーが表示されるサイトに出くわした場合、そのウェブサイトの所有者に問題を知らせてください。 Mozilla は、影響を受けているサイトの運営者がこれらの証明書をただちに置き換えることを強く推奨します。詳しいヘルプは、[https://www.digicert.com/blog/digicert-helping-customers-replace-symantec-certificates この DigiCert のブログ投稿] と [https://www.digicert.com/tools DigiCert のツール] をご覧ください。 == 中間証明書の不足 == 中間証明書が足りていないサイトでは、エラーページの {button エラー内容} をクリックした後に、以下のエラーメッセージが表示されます: {note}発行者の証明書が不明であるためこの証明書は信頼されません。<br>サーバーが適正な中間証明書を送信しない可能性があります。<br>追加のルート証明書をインポートする必要があるでしょう。{/note} ウェブサイトの証明書が信頼された認証局により発行されたものでない自己署名の可能性があり、信頼された認証局への証明書チェーンが完結していない (中間証明書が足りない) ものが提示されています。ウェブサイトの所有者に問い合わせてエラーのことを知らせてください。 <br>[https://www.ssllabs.com/ssltest SSL Labs のテストページ] のようなサードパーティ製ツールにウェブサイトのアドレスを入力することにより、サイトが適切に設定されているかテストできます。"Chain issues: Incomplete" という結果が返ってきた場合、適切な中間証明書が不足しています。 アクセスについての問題があることをそのサイトの所有者に知らせてください。 == 自己署名 == 自己署名をしているサイトでは、エラーページの {button エラー内容} をクリックした後に、エラーコード ERROR_SELF_SIGNED_CERT と以下のエラーメッセージが表示されます: {note}自己署名をしているためこの証明書は信頼されません。{/note} 自己署名は、承認された認証機関によって発行されていないため、[[T:Default]]では信頼されていません。自己署名はデータを盗聴から守りますが、データの受信者については何も言及していません。これは、一般公開されないイントラネットでよく使用され、そのようなサイトでは警告を回避することがあります。 == 警告を回避する == {warning}'''警告:''' 正当なよく知られた ウェブサイトや金融取引が行われるウェブサイトに対してセキュリティ例外を追加してはいけません。これは、サードパーティによる、接続の安全性を損なう不正な証明書である可能性があります。{/warning} エラーを許容できるウェブサイトであれば、そのサイトに訪れるために、その証明書が[[T:Default]]で信頼されていないにもかかわらず、警告を回避できます: # エラーの警告ページで、{button 詳細情報...} ボタンをクリックします。 # {button 危険性を承知で続行} ボタンをクリックします。