安全なウェブサイトでの「安全な接続ではありません」エラーコードをトラブルシュートするには

安全な接続がされているウェブサイト (URL が "https://" で始まるサイト) では、そのウェブサイトにより提示されている証明書の正当性を Firefox が検証します。証明書が検証できない場合、Firefox はそのウェブサイトへの接続を中止し、代わりに「安全な接続ではありません」というエラーページを表示します。

この記事は、エラーページでエラーコード "SEC_ERROR_UNKNOWN_ISSUER" や "MOZILLA_PKIX_ERROR_MITM_DETECTED"、"ERROR_SELF_SIGNED_CERT" が表示される理由と、その解決方法について説明します。

このエラーコードの意味は?

安全な接続を行う間、ユーザーの接続先が意図した相手であり接続が暗号化されていることを確かにするため、ウェブサイトは信頼された 認証局 (Certificate Authority) により発行された証明書を提示する必要があります。「安全な接続ではありません」というエラーページが表示され、エラー内容 のボタンをクリックした後、エラーコードに "SEC_ERROR_UNKNOWN_ISSUER"または "MOZILLA_PKIX_ERROR_MITM_DETECTED" と表示された場合、これは、Firefox が知らない認証局により発行された証明書が提示されており、そのページは信頼できないことを意味します。

Fx44 SEC_ERROR_UNKNOWN_ISSUER error ja

複数の安全なサイトでエラーが発生する

複数の互いに関係のない HTTPS サイトでこの問題が起こる場合は、あなたのシステムまたはネットワーク上の何者かが接続に割り込み、Firefox により信頼されていない方法で証明書を注入していることを示します。多くの原因は、暗号化された接続またはマルウェアの盗聴をスキャンするため、セキュリティソフトウェアが正当なウェブサイトの証明書を独自のものに置き換えていることです。とりわけ、プロキシーによって接続が妨害されていることを Firefox が検知した場合、これは "MOZILLA_PKIX_ERROR_MITM_DETECTED" によって示されます。

ウイルス対策製品

サードパーティのウイルス対策ソフトは、Firefox の安全な接続を妨げることがあります。サードパーティ製ソフトをアンインストールし Microsoft により提供される Windows のセキュリティソフトを使用することを推奨します。

サードパーティ製ソフトをアンインストールしたくない場合、セキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。

セキュリティ製品ごとに、いくつかの解決策があります:

Avast/AVG

Avast または AVG のセキュリティ製品では、安全な接続への割り込みを無効にしてください:

  1. Avast または AVG アプリケーションのダッシュボードを開いてください。
  2. メニュー を開き、設定 > プロテクション > メイン シールド の順にクリックします。
  3. シールド設定のセクションまで下へスクロールし、ウェブ シールド をクリックします。
  4. HTTPSスキャンを有効にする 設定のチェックを外し、確認の OK ボタンをクリックします。
    この製品の古いバージョンでの相当するオプションは、メニュー > 設定 > コンポーネント の順に開き、ウェブシールド の横の カスタマイズ をクリックします。

詳しくは、Avast のサポート記事 アバスト アンチウイルスの ウェブシールドの HTTPS スキャンの管理 をご覧ください。この機能についての詳しい情報は、Avast Blog (英語) をご覧ください。

Bitdefender

Bitdefender のセキュリティ製品では、安全な接続への割り込みを無効にしてください:

  1. Bitdefender アプリケーションのダッシュボードを開いてください。
  2. Protection をクリックし、Online Threat Prevention セクション内の Settings をクリックします。
  3. Encrypted Web Scan 設定をクリックしてオフに切り替えます。
    この製品の古いバージョンでの相当するオプションは、モジュール から Web 保護 を開き、SSL スキャン 設定をオフに切り替えます。

Bitdefender Antivirus Free では、この設定を変更することができません。安全なウェブサイトへのアクセス時に問題が起こったときは、代わりに プログラムの修復または削除 を試してください。

企業向けの Bitdefender 製品については、Bitdefender Support Center ページ (英語) を参照してください。

Bullguard

Bullguard セキュリティ製品は、Google、Yahoo、Facebook のような主要なサイトで安全な接続の盗聴を無効化できます:

  1. Bullguard アプリケーションのダッシュボードを開きます。
  2. Settings をクリックし、パネルの右上の Advanced ビューを有効にします。
  3. Antivirus > Safe browsing の順に開きます。
  4. エラーメッセージが表示されるウェブサイトの Show safe results オプションのチェックを外します。

ESET

ESET セキュリティ製品では、SSL/TLS protocol filtering 設定をいったん無効にし、再度有効にしてみてください。または、ESET のサポート記事 (英語) に書かれた手順で、安全な接続への割り込みを無効にしてください。

Kaspersky

影響を受ける Kaspersky ユーザーは、最新のセキュリティ製品へアップグレードしてください。Kaspersky 2019 以降のバージョンには、この問題を軽減する機能が含まれています。Kaspersky ダウンロードページ にある "upadte" リンクから、現在のサブスクリプションで無償で最新バージョンをインストールできます。

それ以外のバージョンでは、安全な接続への割り込みを無効にしてください:

  1. Kaspersky アプリケーションのダッシュボードを開いてください。
  2. 左下の 設定 をクリックします。
  3. 詳細 をクリックし、次に ネットワーク をクリックします。
  4. 暗号化された接続のスキャン セクションの 暗号化された接続をスキャンする オプションのチェックを外し、適用 ボタンをクリック、OK ボタンをクリックしてください。
  5. 最後に、変更を有効にするため、システムを再起動してください。

Windows アカウントのファミリーセーフティ設定

ファミリーセーフティ設定により保護された Microsoft Windows アカウントでは、Google や Facebook、YouTube など人気のウェブサイト上の安全な接続は、Microsoft により割り込まれ、フィルタリングと検索アクティビティを記録するため、サイトの証明書が Microsoft により発行された証明書と置き換えられます。

これらのアカウントのファミリー機能をオフにする方法は、Microsoft ヘルプのページ をお読みください。影響のあるアカウントで不足した証明書を手動でインストールしたい場合は、Microsoft サポートの記事 を参照してください。

企業ネットワーク内でのモニタリングまたはフィルタリング

企業のネットワーク環境で利用されている通信をモニタリングまたはフィルタリングする一部の製品は、ウェブサイトの証明書を製品独自のものと置き換えて暗号化された接続に割り込みます。この割り込みと同時に、安全な HTTPS サイトでのエラーが発生する可能性があります。

この事例が疑われる場合は、IT 部門に問い合わせて Firefox の証明書ストアに必要な証明書が配置され、Firefox がそのような環境で正しく動作するように設定してください。IT 部門向けの詳しい情報は、Mozilla の Wiki ページ CA:AddRootToFirefox をご覧ください。

マルウェア

一部の形態のマルウェアは、暗号化されたウェブ通信に割り込み、このエラーメッセージの原因となることがあります。マルウェアが引き起こす問題のトラブルシューティング の記事を参照し、マルウェアの問題に対処してください。

特定のひとつのサイトでエラーが発生する

この問題が特定のひとつのサイトでのみ起こる場合、この種類のエラーは、一般的にウェブサーバーが正しく設定されていないことを意味します。しかしながら、このエラーが Google や Facebook などの主要なサイトや金融取引が行われるサイトで起きる場合は、上記の手順 に従ってください。

Symantec に属する認証局によって発行された証明書

Symantec ルート認証局によって発行された証明書の数々の不正が明らかになったのち、Mozilla を含むブラウザーベンダーは、その製品内で、その証明書を信頼しないよう徐々に削除しています。第一段階として、Firefox 60 は 2016 年 6 月 1 日以前に発行された Symantec ルート機関へつながる証明書 (GeoTrust、RapidSSL、Thawte、VeriSign のすべての Symantec ブランドを含む) を信頼しません。Firefox 63 では、発行日にかかわらず信頼の削除が拡大されます。

この場合に表示されるエラーは MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED ですが、一部のサーバーでは代わりにエラーコード SEC_ERROR_UNKNOWN_ISSUER が表示されるでしょう。 どのような場合でも、このエラーが表示されるサイトに出くわした場合、ウェブサイトの所有者に連絡し、問題を知らせてください。影響を受けているサイトの運営者がこれらの証明書をただちに置き換えることを強く推奨します。

この問題についての詳しい情報は、Mozilla のブログ投稿 Distrust of Symantec TLS Certificates (英語) をご覧ください。


中間証明書の不足

中間証明書が足りていないサイトでは、"安全な接続ではありません" のエラーページの エラー内容 をクリックした後に、以下のエラーメッセージが表示されます:

発行者の証明書が不明であるためこの証明書は信頼されません。
サーバが適正な中間証明書を送信しない可能性があります。
追加のルート証明書をインポートする必要があるでしょう。

ウェブサイトの証明書が信頼された認証局により発行されたものでない自己署名の可能性があり、信頼された認証局への証明書チェーンが完結していない (中間証明書が足りない) ものが提示されています。ウェブサイトの所有者に問い合わせてエラーのことを知らせてください。
SSL Labs のテストページ のようなサードパーティ製ツールにウェブサイトのアドレスを入力することにより、サイトが適切に設定されているかテストできます。"Chain issues: Incomplete" という結果が返ってきた場合、適切な中間証明書が不足しています。 アクセスについての問題があることをそのサイトの所有者に知らせてください。

自己署名

自己署名をしているサイトでは、"安全な接続ではありません" のエラーページの エラー内容 をクリックした後に、エラーコード ERROR_SELF_SIGNED_CERT と以下のエラーメッセージが表示されます:

自己署名をしているためこの証明書は信頼されません。

自己署名は、承認された認証機関によって発行されていないため、既定デフォルト では信頼されていません。自己署名はデータを盗聴から守りますが、データの受信者については何も言及していません。これは、一般公開されないイントラネットでよく使用され、そのようなサイトでは警告を回避することがあります。

警告を回避する

警告: 正当なよく知られた ウェブサイトや金融取引が行われるウェブサイトに対してセキュリティ例外を追加してはいけません。これは、サードパーティによる、接続の安全性を損なう不正な証明書である可能性があります。

エラーを許容できるウェブサイトであれば、そのサイトに訪れるために、その証明書が既定デフォルト で信頼されていないことを無視して例外を追加できます:

  1. エラーの警告ページで、エラー内容 ボタンをクリックします。
  2. 例外を追加... ボタンをクリックします。セキュリティ例外の追加 ダイアログが表示されます。
  3. ウェブサイトの問題について書かれた文章をよく読み、信頼されない証明書を調べるため、表示... ボタンをクリックしてください。
  4. そのサイトが信頼できる場合は、セキュリティ例外を承認 ボタンをクリックします。
// この記事の貢献者: marsf, dskmori, c-bou, kenyamaあなたも手助けしませんか?- 貢献するにはこちらから

この記事は役に立ちましたか? しばらくお待ちください...

Mozilla サポートのボランティアに参加する