こんにちは。今回はFirefoxでサイト閲覧時に遭遇するSSL/TLSがらみのエラーについてのお話です。
- “安全な接続ではありません”Firefoxのエラー原因と対策
- 有効期限切れ SEC_ERROR_EXPIRED_CERTIFICATE
- コモンネーム不一致 SSL_ERROR_BAD_CERT_DOMAIN
- 自己署名の証明書 MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
- 信頼された認証局から発行された証明書ではない SEC_ERROR_UNKNOWN_ISSUER
- 失効(Revoke)された証明書 SEC_ERROR_REVOKED_CERTIFICATE
- シマンテックグループの証明書 MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
- 「例外に追加」するとサイトへアクセスできる
- まとめ
“安全な接続ではありません”Firefoxのエラー原因と対策
FirefoxでWebサイトを見ていると、時々遭遇するのがこのメッセージです。
安全な接続ではありません
でも、このメッセージだけではどんなエラーなのかは判断できません。
そこで「エラー内容」をクリックして詳細な内容を確認しましょう、という話と、その「エラー内容」をクリックすると「例外を追加」というボタンが出てくるのですが、それが何なのかを確認してみました。
まずはさまざまなエラー内容と、それに対する対処方法です。
有効期限切れ SEC_ERROR_EXPIRED_CERTIFICATE
これはそのまんまで、サイトに設定されている証明書の有効期限が切れている場合に表示されるメッセージです。
安全な接続ではありません
<コモンネーム> の所有者によるウェブサイトの設定が不適切です。あなたの情報が盗まれることを防ぐため、このウェブサイトへの接続は確立されません。
<コモンネーム> は不正なセキュリティ証明書を使用しています。
この証明書の有効期限は 2015年4月13日 8:59:59 に切れています。現在時刻は 20xx年x月x日 xx:xx です。
エラーコード: SEC_ERROR_EXPIRED_CERTIFICATE
ウェブサイトの管理者へ連絡をして証明書を置き換えてもらいましょう。
コモンネーム不一致 SSL_ERROR_BAD_CERT_DOMAIN
証明書のコモンネームとアクセスしているURLのFQDNが違っている場合に表示されるメッセージです。
<コモンネーム> は不正なセキュリティ証明書を使用しています。
この証明書は次のドメイン名にだけ有効なものです: <コモンネーム>
エラーコード: SSL_ERROR_BAD_CERT_DOMAIN
サイト管理者に設定修正、もしくは証明書を変えてもらってください。
自己署名の証明書 MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
自己署名の証明書が適用されている場合に表示されるメッセージです。
<コモンネーム> は不正なセキュリティ証明書を使用しています。
自己署名をしているためこの証明書は信頼されません。
エラーコード: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
サイト管理者へ連絡してきちんとした証明書へ置き換えてもらってください。
信頼された認証局から発行された証明書ではない SEC_ERROR_UNKNOWN_ISSUER
UNKNOWN ISSUERなので、信頼されていない発行元の証明書ですよ、というメッセージなのですが、これにはいくつか原因が考えられます。
- 信頼された認証局発行の証明書ではない
- サーバへ中間証明書が設定されていない
- クライアントへルート証明書が搭載されていない
<コモンネーム> は不正なセキュリティ証明書を使用しています。
発行者の証明書が不明であるためこの証明書は信頼されません。
サーバーが適正な中間証明書を送信しない可能性があります。
追加のルート証明書をインポートする必要があるでしょう。エラーコード: SEC_ERROR_UNKNOWN_ISSUER
このメッセージだけでは判断が難しいところもありますが、サイト管理者へ連絡して確認してもらってください。
IEやChromeだと「自己署名の証明書」と「信頼された認証局から発行された証明書」へのメッセージは同じです。
それと比べるとFirefoxは細かな設計がされていますね。
失効(Revoke)された証明書 SEC_ERROR_REVOKED_CERTIFICATE
失効された証明書が使われています。
<コモンネーム> への接続中にエラーが発生しました。Peer’s Certificate has been revoked.
エラーコード: SEC_ERROR_REVOKED_CERTIFICATE
受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
この問題をウェブサイトの管理者に連絡してください。
証明書が何からの理由で失効されていますので、サイト管理者へ連絡して証明書を置き換えてもらってください。
ちなみに、問題がある証明書(証明書自体というよりも、発行先に問題がある場合がほとんどかと)のため、認証局側で失効している可能性もあるので、一応注意が必要です。
なお、Revokeの場合は、後から説明する「例外に追加」から無理やり先に進む(サイト閲覧を続行する)ことはできません。
シマンテックグループの証明書 MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
以前はChromeだけでしたが、今はFirefoxもシマンテックグループの認証局から発行された証明書を使っているとこのメッセージが表示する実装がされています。
安全な接続ではありません
<コモンネーム> の所有者によるウェブサイトの設定が不適切です。あなたの情報が盗まれることを防ぐため、このウェブサイトへの接続は確立されません。
ウェブサイトは認証局から発行された証明書で同一性を証明します。多くのブラウザーはもはや GeoTrust および RapidSSL、Symantec、Thawte、VeriSign により発行された証明書を信頼しません。<コモンネーム> はこれらのうちいずれかの認証局からの証明書を使用しているため、ウェブサイトの同一性を証明できません。
この問題をウェブサイトの管理者に知らせることもできます。
<コモンネーム> は不正なセキュリティ証明書を使用しています。
GeoTrust および RapidSSL、Symantec、Thawte、VeriSign により発行された証明書はもはや安全とはみなされません。これらの証明書認証局は過去にセキュリティ規則に従いませんでした。
エラーコード: MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
サイト管理者へ連絡して証明書を置き換えてもらってください。
シマンテックの認証局事業は現在デジサートが買収しましたので、デジサートの証明書として再発行してもらえば良いと思います。
しかし、Firefoxのメッセージはちゃんと書かれているので、この内容を見ればどういう理由なのかがわかりますね。
エラーメッセージってよくわからないものが多いので、このメッセージングは評価できると思います。
「例外に追加」するとサイトへアクセスできる
一通りエラーメッセージの確認ができたところで、「例外に追加」ボタンについてです。
このボタンを押下すると上記のような画面が表示されます。
この画面の「セキュリティ例外を承認」をクリックすると、そのサイトにアクセスすることができます。
通常はこのボタンを押して先に進むことはないと思いますが、問題がないことが明らかでサイトにアクセスをしたい場合は、ここからアクセスすることが可能です。
ちなみにRevokeの場合は「例外に追加」のボタンは表示されません。
ちゃんと、エラー内容によって表示されるボタンなども変わっていてちゃんとしてるな、という印象です。
まとめ
- エラー内容をちゃんと見ないと原因は判断できない
- 「例外に追加」するとサイトの閲覧はできる
- Revokeの場合は「例外の追加」ができないので閲覧できない
- Firefoxのエラーメッセージはわかりやすい
という感じでした。
以上、「”安全な接続ではありません”Firefoxのエラー原因と対策」でした。
コメント