安全なウェブサイトでのセキュリティエラーコードの問題を解決するには

安全に暗号化されているウェブサイト (URL が "https://" で始まるサイト) では、そのウェブサイトにより提示されている証明書の正当性を Firefox が検証します。証明書が検証できない場合、Firefox はそのウェブサイトへの接続を中止し、代わりに「警告: 潜在的なセキュリティリスクあり」というエラーページを表示します。詳細情報 ボタンをクリックすると、Firefox が遭遇しているエラーの詳細を表示できます。

この記事は、エラーページで SEC_ERROR_UNKNOWN_ISSUER や MOZILLA_PKIX_ERROR_MITM_DETECTED、ERROR_SELF_SIGNED_CERT のエラーコードが表示される理由と、その解決方法について説明します。

「警告: 潜在的なセキュリティリスクあり」というエラーページの他のエラーコードについては、潜在的なセキュリティリスク警告のエラーコードについて の記事をご覧ください。安全な接続ができませんでした接続中止: 潜在的なセキュリティ問題 のエラーページについては、安全な接続ができませんでした の記事をご覧ください。

このエラーコードの意味は?

安全な接続を行う間、ユーザーの接続先が意図した相手であり接続が暗号化されていることを確かにするため、ウェブサイトは信頼された 認証局 (Certificate Authority) により発行された証明書を提示しなくてはなりません。「警告: 潜在的なセキュリティリスクあり」というエラーページで 詳細情報... のボタンをクリックし、エラーコードに SEC_ERROR_UNKNOWN_ISSUER または MOZILLA_PKIX_ERROR_MITM_DETECTED と表示された場合、これは、Firefox が知らない認証局により発行された証明書が提示されており、そのページは信頼できないことを意味します。

Fx101Warning-SEC_ERROR_UNKNOWN_ISSUER-ja

複数の安全なサイトでエラーが発生する

複数の互いに関係のない HTTPS サイトでこの問題が起こる場合、あなたのシステムまたはネットワーク上の何者かが接続に割り込み、Firefox により信頼されていない方法で証明書を注入していることを示します。多くの原因は、暗号化された接続またはマルウェアの盗聴をスキャンするため、セキュリティソフトウェアが正当なウェブサイトの証明書を独自のものに置き換えていることです。特に、MOZILLA_PKIX_ERROR_MITM_DETECTED のエラーコードは、Firefox が接続妨害を検知したことを示します。

ウイルス対策製品

サードパーティのウイルス対策ソフトは、Firefox の安全な接続を妨げることがあります。セキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。

サードパーティ製ソフトをアンインストールし Microsoft により提供される Windows のセキュリティソフトを使用することを推奨します。

サードパーティ製ソフトをアンインストールしたくない場合、セキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。

セキュリティ製品ごとに、いくつかの解決策があります:

Avast/AVG

Avast または AVG のセキュリティ製品では、安全な接続への割り込みを無効にしてください:

  1. Avast または AVG アプリケーションのダッシュボードを開いてください。
  2. メニュー を開き、設定 > プロテクション > メイン シールド の順にクリックします。
  3. シールド設定のセクションまで下へスクロールし、ウェブ シールド をクリックします。
  4. HTTPSスキャンを有効にする 設定のチェックを外し、確認の OK ボタンをクリックします。
    この製品の古いバージョンでの相当するオプションは、メニュー > 設定 > コンポーネント の順に開き、ウェブシールド の横の カスタマイズ をクリックします。

詳しくは、Avast のサポート記事 アバスト アンチウイルスの ウェブシールドの HTTPS スキャンの管理 をご覧ください。この機能についての詳しい情報は、Avast Blog (英語) をご覧ください。

Bitdefender

Bitdefender のセキュリティ製品では、安全な接続への割り込みを無効にしてください:

  1. Bitdefender アプリケーションのダッシュボードを開いてください。
  2. Protection をクリックし、Online Threat Prevention セクション内の Settings をクリックします。
  3. Encrypted Web Scan 設定をクリックしてオフに切り替えます。
    この製品の古いバージョンでの相当するオプションは、モジュール から Web 保護 を開き、SSL スキャン 設定をオフに切り替えます。

Bitdefender Antivirus Free では、この設定を変更することができません。安全なウェブサイトへのアクセス時に問題が起こったときは、代わりに プログラムの修復または削除 を試してください。

企業向けの Bitdefender 製品については、Bitdefender Support Center ページ (英語) を参照してください。

Bullguard

Bullguard セキュリティ製品は、Google、Yahoo、Facebook のような主要なサイトで安全な接続の盗聴を無効化できます:

  1. Bullguard アプリケーションのダッシュボードを開きます。
  2. Settings をクリックし、パネルの右上の Advanced ビューを有効にします。
  3. Antivirus > Safe browsing の順に開きます。
  4. エラーメッセージが表示されるウェブサイトの Show safe results オプションのチェックを外します。

ESET

ESET セキュリティ製品では、SSL/TLS protocol filtering 設定をいったん無効にし、再度有効にしてみてください。または、ESET のサポート記事 (英語) に書かれた手順で、安全な接続への割り込みを無効にしてください。

Kaspersky

影響を受ける Kaspersky ユーザーは、最新のセキュリティ製品へアップグレードしてください。Kaspersky 2019 以降のバージョンには、この問題を軽減する機能が含まれています。Kaspersky ダウンロードページ にある "upadte" リンクから、現在のサブスクリプションで無償で最新バージョンをインストールできます。

それ以外のバージョンでは、安全な接続への割り込みを無効にしてください:

  1. Kaspersky アプリケーションのダッシュボードを開いてください。
  2. 左下の 設定 をクリックします。
  3. 詳細 をクリックし、次に ネットワーク をクリックします。
  4. 暗号化された接続のスキャン セクションの 暗号化された接続をスキャンする オプションのチェックを外し、適用 ボタンをクリック、OK ボタンをクリックしてください。
  5. 最後に、変更を有効にするため、システムを再起動してください。

Windows アカウントのファミリーセーフティ設定

ファミリーセーフティ設定により保護された Microsoft Windows アカウントでは、Google や Facebook、YouTube など人気のウェブサイト上の安全な接続は、Microsoft により割り込まれ、フィルタリングと検索アクティビティを記録するため、サイトの証明書が Microsoft により発行された証明書と置き換えられます。

これらのアカウントのファミリー機能をオフにする方法は、Microsoft ヘルプのページ をお読みください。影響のあるアカウントで不足した証明書を手動でインストールしたい場合は、Microsoft サポートの記事 を参照してください。

企業ネットワーク内でのモニタリングまたはフィルタリング

企業のネットワーク環境で利用されている通信をモニタリングまたはフィルタリングする一部の製品は、ウェブサイトの証明書を製品独自のものと置き換えて暗号化された接続に割り込みます。この割り込みと同時に、安全な HTTPS サイトでのエラーが発生する可能性があります。

この事例が疑われる場合は、IT 部門に問い合わせて Firefox の証明書ストアに必要な証明書が配置され、Firefox がそのような環境で正しく動作するように設定してください。IT 部門向けの詳しい情報は、Mozilla の Wiki ページ CA:AddRootToFirefox をご覧ください。

マルウェア

一部の形態のマルウェアは、暗号化されたウェブ通信に割り込み、このエラーメッセージの原因となることがあります。マルウェアが引き起こす問題のトラブルシューティング の記事を参照し、マルウェアの問題に対処してください。

特定のひとつのサイトでエラーが発生する

この問題が特定のひとつのサイトでのみ起こる場合、この種類のエラーは、一般的にウェブサーバーが正しく設定されていないことを意味します。しかしながら、このエラーが Google や Facebook などの主要なサイトや金融取引が行われるサイトで起きる場合は、上記の手順 に従ってください。

Symantec に属する認証局によって発行された証明書

Symantec ルート認証局によって発行された証明書の数々の不正が明らかになったのち、Mozilla を含むブラウザーベンダーは、その製品内で、その証明書を信頼しないよう徐々に削除しています。Firefox はもはや、Symantec により発行された証明書を信頼しません。これには、GeoTrust および RapidSSL、Thawte、Verisign ブランドの下で発行された証明書も含まれます。 詳しい情報は、この Mozilla のブログ記事 (英語) をご覧ください。

この場合に表示されるエラーは MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED ですが、一部のサーバーでは代わりにエラーコード SEC_ERROR_UNKNOWN_ISSUER が表示されるでしょう。このエラーが表示されるサイトに出くわした場合、そのウェブサイトの所有者に問題を知らせてください。

Mozilla は、影響を受けているサイトの運営者がこれらの証明書をただちに置き換えることを強く推奨します。詳しいヘルプは、この DigiCert のブログ投稿DigiCert のツール をご覧ください。

中間証明書の不足

中間証明書が足りていないサイトでは、エラーページの エラー内容 をクリックした後に、以下のエラーメッセージが表示されます:

発行者の証明書が不明であるためこの証明書は信頼されません。
サーバーが適正な中間証明書を送信しない可能性があります。
追加のルート証明書をインポートする必要があるでしょう。

ウェブサイトの証明書が信頼された認証局により発行されたものでない自己署名の可能性があり、信頼された認証局への証明書チェーンが完結していない (中間証明書が足りない) ものが提示されています。ウェブサイトの所有者に問い合わせてエラーのことを知らせてください。
SSL Labs のテストページ のようなサードパーティ製ツールにウェブサイトのアドレスを入力することにより、サイトが適切に設定されているかテストできます。"Chain issues: Incomplete" という結果が返ってきた場合、適切な中間証明書が不足しています。 アクセスについての問題があることをそのサイトの所有者に知らせてください。

自己署名

自己署名をしているサイトでは、エラーページの エラー内容 をクリックした後に、エラーコード ERROR_SELF_SIGNED_CERT と以下のエラーメッセージが表示されます:

自己署名をしているためこの証明書は信頼されません。

自己署名は、承認された認証機関によって発行されていないため、既定デフォルト では信頼されていません。自己署名はデータを盗聴から守りますが、データの受信者については何も言及していません。これは、一般公開されないイントラネットでよく使用され、そのようなサイトでは警告を回避することがあります。

警告を回避する

警告: 正当なよく知られた ウェブサイトや金融取引が行われるウェブサイトに対してセキュリティ例外を追加してはいけません。これは、サードパーティによる、接続の安全性を損なう不正な証明書である可能性があります。

エラーを許容できるウェブサイトであれば、そのサイトに訪れるために、その証明書が既定デフォルト で信頼されていないにもかかわらず、警告を回避できます:

  1. エラーの警告ページで、詳細情報... ボタンをクリックします。
  2. 危険性を承知で続行 ボタンをクリックします。

この記事は役に立ちましたか?

しばらくお待ちください...

以下の人々がこの記事の執筆を手伝ってくれました:

marsf, dskmori, c-bou, kenyama, TopGun
Illustration of hands

ボランティア

あなたの専門知識を成長させ、他の人と共有してください。質問に答えたり、ナレッジベースを改善したりしてください。

詳しく学ぶ