Compare Revisions
安全なウェブサイトでのセキュリティエラーコードの問題を解決するには
Revision 135045:
Revision 135045 by dskmori on
Revision 160003:
Revision 160003 by dskmori on
Keywords:
読み込み 接続 ブロック
読み込み 接続 ブロック
Search results summary:
この記事は、HTTPS のウェブサイトでエラーコード "SEC_ERROR_UNKNOWN_ISSUER" が表示される理由と、その問題解決の方法を説明します。
この記事は、HTTPS のウェブサイトでエラーコード "SEC_ERROR_UNKNOWN_ISSUER" が表示される理由と、その問題解決の方法を説明します。
Content:
安全な接続がされているウェブサイト (URL が "http'''s'''://" で始まるサイト) では、そのウェブサイトにより提示されている証明書の正当性を Firefox が検証します。証明書が検証できない場合、Firefox はそのウェブサイトへの接続を中止し、代わりに「[[What does "Your connection is not secure" mean?|安全な接続ではありません]]」というエラーメッセージを表示します。この記事は、ウェブサイトでエラーコード "SEC_ERROR_UNKNOWN_ISSUER" が表示される理由と、その解決方法について説明します。
__TOC__
= このエラーコードの意味は? =
安全な接続を行う間、ユーザーの接続先が意図した相手であり接続が暗号化されていることを確かにするため、ウェブサイトは信頼された [https://ja.wikipedia.org/wiki/%E8%AA%8D%E8%A8%BC%E5%B1%80 認証局] (Certificate Authority) により発行された証明書を提示する必要があります。「安全な接続ではありません」というエラーページが表示され、{button エラー内容} のボタンをクリックした後、エラーコードに "SEC_ERROR_UNKNOWN_ISSUER" と表示された場合、これは、Firefox が知らない認証局により発行された証明書が提示されており、そのページは信頼できないことを意味します。
[[Image:Fx44 SEC_ERROR_UNKNOWN_ISSUER error ja]]
= 複数の安全なサイトでエラーが発生する =
複数の互いに関係のない HTTPS サイトでこの問題が起こる場合は、あなたのシステムまたはネットワーク上の何者かが接続に割り込み、Firefox により信頼されていない方法で証明書を注入していることを示します。多くの原因は、暗号化された接続またはマルウェアの盗聴をスキャンするため、セキュリティソフトウェアが正当なウェブサイトの証明書を独自のものに置き換えていることです。
== ウイルス対策製品 ==
一般的に、ご使用のセキュリティ製品に暗号化された接続をスキャンする機能が含まれている場合、そのセキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。セキュリティ製品ごとに、以下の解決策を試してください:
=== Avast ===
Avast のセキュリティ製品では、安全な接続への割り込みを無効にしてください:
# Avast アプリケーションのダッシュボードを開いてください。
# {menu Settings} から {menu Active Protection} を開き、{menu Web Shield} の隣の {button Customize} ボタンをクリックします。
# {pref Enable HTTPS Scanning} 設定のチェックを外し、確認の {button OK} ボタンをクリックしてください。
この機能についての詳しい情報は、[https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast Blog] (英語) をご覧ください。
=== Bitdefender ===
Bitdefender のセキュリティ製品では、安全な接続への割り込みを無効にしてください:
# Bitdefender アプリケーションのダッシュボードを開いてください。
# Bitdefender セキュリティ製品の '''2016''' バージョンでは、{menu Modules} をクリックします。<br>Bitdefender の '''2015''' バージョンでは、{menu Protection} をクリックします。
# {menu Web Protection} をクリックします。
# {pref Scan SSL} 設定をオフに切り替えてください。
企業向けの Bitdefender 製品については、[http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender Support Center ページ] (英語) を参照してください。
=== Bullguard ===
Bullguard セキュリティ製品は、Google、Yahoo、Facebook のような主要なサイトで安全な接続の盗聴を無効化できます:
# Bullguard アプリケーションのダッシュボードを開きます。
# {menu Antivirus settings} > {menu Browsing} の順にクリックします。
# エラーメッセージが表示されるウェブサイトの {menu Show safe results} オプションのチェックを外します。
=== ESET ===
ESET セキュリティ製品では、{pref SSL/TLS protocol filtering} 設定をいったん無効にし、再度有効にしてみてください。または、[http://support.eset.com/kb3126/ ESET のサポート記事] (英語) に書かれた手順で、安全な接続への割り込みを無効にしてください。
=== Kaspersky ===
Kaspersky のセキュリティ製品では、安全な接続への割り込みを無効にしてください:
# Kaspersky アプリケーションのダッシュボードを開いてください。
# 左下の {menu Settings} をクリックします。
# {menu Additional} をクリックし、次に {menu Network} をクリックします。
# Kaspersky の '''2016''' バージョンを使用している場合: {menu Encrypted connections scanning} セクションで {pref Do not scan encrypted connections} オプションにチェックを入れ、この変更を確認してください。<br>Kaspersky の証明書を再インストールするために、{menu Advanced Settings} をクリックすることもできます。開いたダイアログで {button Install certificate…} をクリックし、画面上の手順に従ってください。<br>Kaspersky の '''2015''' バージョンを使用している場合: {pref Scan encrypted connections} オプションのチェックを外してください。
# 最後に、変更を有効にするため、システムを再起動してください。<br><br>Kaspersky の '''以前のバージョン''' を購読しているユーザは、[http://www.kaspersky.co.jp/product-updates Kaspersky の製品アップデートページ] でダウンロードしてインストールできる最新のバージョンにアップグレードすることができます。最新バージョンにした後に、上記の手順に従ってください。
== Windows アカウントのファミリーセーフティ設定 ==
ファミリーセーフティ設定により保護された Microsoft Windows アカウントでは、Google や Facebook、YouTube など人気のウェブサイト上の安全な接続は、Microsoft により割り込まれ、フィルタリングと検索アクティビティを記録するため、サイトの証明書が Microsoft により発行された証明書と置き換えられます。
これらのアカウントのファミリー機能をオフにする方法は、[http://windows.microsoft.com/ja-jp/windows/family-features-remove-uninstall-faq Microsoft ヘルプのページ] をお読みください。{for win8, win10}影響のあるアカウントで不足した証明書を手動でインストールしたい場合は、[https://support.microsoft.com/ja-jp/kb/2965142#bookmark-2 Microsoft サポートの記事] を参照してください。{/for}
== 企業ネットワーク内でのモニタリングまたはフィルタリング ==
企業のネットワーク環境で利用されている通信をモニタリングまたはフィルタリングする一部の製品は、ウェブサイトの証明書を製品独自のものと置き換えて暗号化された接続に割り込みます。この割り込みと同時に、安全な HTTPS サイトでのエラーが発生する可能性があります。
この事例が疑われる場合は、IT 部門に問い合わせて Firefox の証明書ストアに必要な証明書が配置され、Firefox がそのような環境で正しく動作するように設定してください。
== マルウェア ==
一部の形態のマルウェアは、暗号化されたウェブ通信に割り込み、このエラーメッセージの原因となることがあります。[[Troubleshoot Firefox issues caused by malware]] の記事を参照し、マルウェアの問題に対処してください。
= 特定のひとつのサイトでエラーが発生する =
この問題が特定のひとつのサイトでのみ起こる場合、この種類のエラーは、一般的にウェブサーバーが正しく設定されていないことを意味します。しかしながら、このエラーが Google や Facebook などの主要なサイトや金融取引が行われるサイトで起きる場合は、<!--note for localisers: adapt this link, it should point to the "The error occurs on multiple secure sites" section-->[[#w_ciiuaggoeeaeaiaccnadaececkauojeaaoao|上記の手順]] に従ってください。
== 中間証明書の不足 ==
中間証明書が足りていないサイトでは、"安全な接続ではありません" のエラーページの {button エラー内容} をクリックした後に、以下のエラーが表示されます:
{note}発行者の証明書が不明であるためこの証明書は信頼されません。<br>サーバが適正な中間証明書を送信しない可能性があります。<br>追加のルート証明書をインポートする必要があるでしょう。{/note}
ウェブサイトの証明書が信頼された認証局により発行されたものでない自己署名の可能性があり、信頼された認証局への証明書チェーンが完結していない (中間証明書が足りない) ものが提示されています。ウェブサイトの所有者に問い合わせてエラーのことを知らせてください。
<br>[https://www.ssllabs.com/ssltest SSL Labs のテストページ] のようなサードパーティ製ツールにウェブサイトのアドレスを入力することにより、サイトが適切に設定されているかテストできます。"Chain issues: Incomplete" という結果が返ってきた場合、適切な中間証明書が不足しています。
アクセスについての問題があることをそのサイトの所有者に知らせてください。
== 自己署名 ==
自己署名をしているサイトでは、"安全な接続ではありません" のエラーページの {button エラー内容} をクリックした後に、以下のエラーが表示されます:
{note}自己署名をしているためこの証明書は信頼されません。{/note}
自己署名は、承認された認証機関によって発行されていないため、[[T:default]]では信頼されていません。自己署名はデータを盗聴から守りますが、データの受信者については何も言及していません。これは、一般公開されないイントラネットでよく使用され、そのようなサイトでは警告を回避することがあります。
== 警告を回避する ==
{warning}'''警告:''' 正当なよく知られた ウェブサイトや金融取引が行われるウェブサイトに対してセキュリティ例外を追加してはいけません。これは、サードパーティによる、接続の安全性を損なう不正な証明書である可能性があります。{/warning}
エラーを許容できるウェブサイトであれば、そのサイトに訪れるために、その証明書が[[T:Default]]で信頼されていないことを無視して例外を追加できます:
# エラーの警告ページで、{button エラー内容} ボタンをクリックします。
# {button 例外を追加...} ボタンをクリックします。''セキュリティ例外の追加'' ダイアログが表示されます。
# ウェブサイトの問題について書かれた文章をよく読み、信頼されない証明書を調べるため、{button 表示...} ボタンをクリックしてください。
# そのサイトが信頼できる場合は、{button セキュリティ例外を承認} ボタンをクリックします。
安全な接続がされているウェブサイト (URL が "http'''s'''://" で始まるサイト) では、そのウェブサイトにより提示されている証明書の正当性を Firefox が検証します。証明書が検証できない場合、Firefox はそのウェブサイトへの接続を中止し、代わりに「[[What does "Your connection is not secure" mean?|安全な接続ではありません]]」というエラーメッセージを表示します。この記事は、ウェブサイトでエラーコード "SEC_ERROR_UNKNOWN_ISSUER" が表示される理由と、その解決方法について説明します。
__TOC__
= このエラーコードの意味は? =
安全な接続を行う間、ユーザーの接続先が意図した相手であり接続が暗号化されていることを確かにするため、ウェブサイトは信頼された [https://ja.wikipedia.org/wiki/%E8%AA%8D%E8%A8%BC%E5%B1%80 認証局] (Certificate Authority) により発行された証明書を提示する必要があります。「安全な接続ではありません」というエラーページが表示され、{button エラー内容} のボタンをクリックした後、エラーコードに "SEC_ERROR_UNKNOWN_ISSUER" と表示された場合、これは、Firefox が知らない認証局により発行された証明書が提示されており、そのページは信頼できないことを意味します。
[[Image:Fx44 SEC_ERROR_UNKNOWN_ISSUER error ja]]
= 複数の安全なサイトでエラーが発生する =
複数の互いに関係のない HTTPS サイトでこの問題が起こる場合は、あなたのシステムまたはネットワーク上の何者かが接続に割り込み、Firefox により信頼されていない方法で証明書を注入していることを示します。多くの原因は、暗号化された接続またはマルウェアの盗聴をスキャンするため、セキュリティソフトウェアが正当なウェブサイトの証明書を独自のものに置き換えていることです。
== ウイルス対策製品 ==
一般的に、ご使用のセキュリティ製品に暗号化された接続をスキャンする機能が含まれている場合、そのセキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。セキュリティ製品ごとに、以下の解決策を試してください:
=== Avast ===
Avast のセキュリティ製品では、安全な接続への割り込みを無効にしてください:
# Avast アプリケーションのダッシュボードを開いてください。
# {menu Settings} から {menu Active Protection} を開き、{menu Web Shield} の隣の {button Customize} ボタンをクリックします。
# {pref Enable HTTPS Scanning} 設定のチェックを外し、確認の {button OK} ボタンをクリックしてください。
この機能についての詳しい情報は、[https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast Blog] (英語) をご覧ください。
=== Bitdefender ===
Bitdefender のセキュリティ製品では、安全な接続への割り込みを無効にしてください:
# Bitdefender アプリケーションのダッシュボードを開いてください。
# Bitdefender セキュリティ製品の '''2016''' バージョンでは、{menu Modules} をクリックします。<br>Bitdefender の '''2015''' バージョンでは、{menu Protection} をクリックします。
# {menu Web Protection} をクリックします。
# {pref Scan SSL} 設定をオフに切り替えてください。
企業向けの Bitdefender 製品については、[http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender Support Center ページ] (英語) を参照してください。
=== Bullguard ===
Bullguard セキュリティ製品は、Google、Yahoo、Facebook のような主要なサイトで安全な接続の盗聴を無効化できます:
# Bullguard アプリケーションのダッシュボードを開きます。
# {menu Antivirus settings} > {menu Browsing} の順にクリックします。
# エラーメッセージが表示されるウェブサイトの {menu Show safe results} オプションのチェックを外します。
=== ESET ===
ESET セキュリティ製品では、{pref SSL/TLS protocol filtering} 設定をいったん無効にし、再度有効にしてみてください。または、[http://support.eset.com/kb3126/ ESET のサポート記事] (英語) に書かれた手順で、安全な接続への割り込みを無効にしてください。
=== Kaspersky ===
Kaspersky のセキュリティ製品では、安全な接続への割り込みを無効にしてください:
# Kaspersky アプリケーションのダッシュボードを開いてください。
# 左下の {menu Settings} をクリックします。
# {menu Additional} をクリックし、次に {menu Network} をクリックします。
# Kaspersky の '''2016''' バージョンを使用している場合: {menu Encrypted connections scanning} セクションで {pref Do not scan encrypted connections} オプションにチェックを入れ、この変更を確認してください。<br>Kaspersky の証明書を再インストールするために、{menu Advanced Settings} をクリックすることもできます。開いたダイアログで {button Install certificate…} をクリックし、画面上の手順に従ってください。<br>Kaspersky の '''2015''' バージョンを使用している場合: {pref Scan encrypted connections} オプションのチェックを外してください。
# 最後に、変更を有効にするため、システムを再起動してください。<br><br>Kaspersky の '''以前のバージョン''' を購読しているユーザは、[http://www.kaspersky.co.jp/product-updates Kaspersky の製品アップデートページ] でダウンロードしてインストールできる最新のバージョンにアップグレードすることができます。最新バージョンにした後に、上記の手順に従ってください。
== Windows アカウントのファミリーセーフティ設定 ==
ファミリーセーフティ設定により保護された Microsoft Windows アカウントでは、Google や Facebook、YouTube など人気のウェブサイト上の安全な接続は、Microsoft により割り込まれ、フィルタリングと検索アクティビティを記録するため、サイトの証明書が Microsoft により発行された証明書と置き換えられます。
これらのアカウントのファミリー機能をオフにする方法は、[http://windows.microsoft.com/ja-jp/windows/family-features-remove-uninstall-faq Microsoft ヘルプのページ] をお読みください。{for win8, win10}影響のあるアカウントで不足した証明書を手動でインストールしたい場合は、[https://support.microsoft.com/ja-jp/kb/2965142#bookmark-2 Microsoft サポートの記事] を参照してください。{/for}
== 企業ネットワーク内でのモニタリングまたはフィルタリング ==
企業のネットワーク環境で利用されている通信をモニタリングまたはフィルタリングする一部の製品は、ウェブサイトの証明書を製品独自のものと置き換えて暗号化された接続に割り込みます。この割り込みと同時に、安全な HTTPS サイトでのエラーが発生する可能性があります。
この事例が疑われる場合は、IT 部門に問い合わせて Firefox の証明書ストアに必要な証明書が配置され、Firefox がそのような環境で正しく動作するように設定してください。
== マルウェア ==
一部の形態のマルウェアは、暗号化されたウェブ通信に割り込み、このエラーメッセージの原因となることがあります。[[Troubleshoot Firefox issues caused by malware]] の記事を参照し、マルウェアの問題に対処してください。
= 特定のひとつのサイトでエラーが発生する =
この問題が特定のひとつのサイトでのみ起こる場合、この種類のエラーは、一般的にウェブサーバーが正しく設定されていないことを意味します。しかしながら、このエラーが Google や Facebook などの主要なサイトや金融取引が行われるサイトで起きる場合は、<!--note for localisers: adapt this link, it should point to the "The error occurs on multiple secure sites" section-->[[#w_ciiuaggoeeaeaiaccnadaececkauojeaaoao|上記の手順]] に従ってください。
{for fx60}
== Symantec に属する認証局によって発行された証明書 ==
Symantec ルート認証局によって発行された証明書の数々の不正が明らかになったのち、Mozilla を含むブラウザーベンダーは、徐々に製品内でその証明書を信頼するものから削除しています。第一段階として Firefox 60 は 2016 年 6 月 1 日以前に発行された Symantec ルート機関につながる証明書 (GeoTrust、RapidSSL、Thawte、VeriSign のすべての Symantec ブランドを含む) を信頼しません。Firefox 63 では、発行日にかかわらず信頼の削除が拡大されます。
MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED は、サーバーで発生する起きるエラーで、SEC_ERROR_UNKNOWN_ISSUER のエラーコードより前に発生します。 <!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 -->どんな場合でも、そういったサイトに出くわした場合、ウェブサイトの所有者に連絡し、問題を知らせてください。影響を受けているサイトがこれらの証明書をただちに置き換えることを強く推奨します。
この問題についての詳しい情報は、Mozilla のブログ投稿 [https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/ Distrust of Symantec TLS Certificates] (英語) をご覧ください。
{/for}
== 中間証明書の不足 ==
中間証明書が足りていないサイトでは、"安全な接続ではありません" のエラーページの {button エラー内容} をクリックした後に、以下のエラーが表示されます:
{note}発行者の証明書が不明であるためこの証明書は信頼されません。<br>サーバが適正な中間証明書を送信しない可能性があります。<br>追加のルート証明書をインポートする必要があるでしょう。{/note}
ウェブサイトの証明書が信頼された認証局により発行されたものでない自己署名の可能性があり、信頼された認証局への証明書チェーンが完結していない (中間証明書が足りない) ものが提示されています。ウェブサイトの所有者に問い合わせてエラーのことを知らせてください。
<br>[https://www.ssllabs.com/ssltest SSL Labs のテストページ] のようなサードパーティ製ツールにウェブサイトのアドレスを入力することにより、サイトが適切に設定されているかテストできます。"Chain issues: Incomplete" という結果が返ってきた場合、適切な中間証明書が不足しています。
アクセスについての問題があることをそのサイトの所有者に知らせてください。
== 自己署名 ==
自己署名をしているサイトでは、"安全な接続ではありません" のエラーページの {button エラー内容} をクリックした後に、以下のエラーが表示されます:
{note}自己署名をしているためこの証明書は信頼されません。{/note}
自己署名は、承認された認証機関によって発行されていないため、[[T:default]]では信頼されていません。自己署名はデータを盗聴から守りますが、データの受信者については何も言及していません。これは、一般公開されないイントラネットでよく使用され、そのようなサイトでは警告を回避することがあります。
== 警告を回避する ==
{warning}'''警告:''' 正当なよく知られた ウェブサイトや金融取引が行われるウェブサイトに対してセキュリティ例外を追加してはいけません。これは、サードパーティによる、接続の安全性を損なう不正な証明書である可能性があります。{/warning}
エラーを許容できるウェブサイトであれば、そのサイトに訪れるために、その証明書が[[T:Default]]で信頼されていないことを無視して例外を追加できます:
# エラーの警告ページで、{button エラー内容} ボタンをクリックします。
# {button 例外を追加...} ボタンをクリックします。''セキュリティ例外の追加'' ダイアログが表示されます。
# ウェブサイトの問題について書かれた文章をよく読み、信頼されない証明書を調べるため、{button 表示...} ボタンをクリックしてください。
# そのサイトが信頼できる場合は、{button セキュリティ例外を承認} ボタンをクリックします。