安全に暗号化されているウェブサイト (URL が "https://" で始まるサイト) では、そのウェブサイトにより提示されている証明書の正当性を Firefox が検証します。証明書が検証できない場合、Firefox はそのウェブサイトへの接続を中止し、代わりに「警告: 潜在的なセキュリティリスクあり」というエラーページを表示します。
ボタンをクリックすると、Firefox が遭遇しているエラーの詳細を表示できます。この記事は、エラーページで SEC_ERROR_UNKNOWN_ISSUER や MOZILLA_PKIX_ERROR_MITM_DETECTED、ERROR_SELF_SIGNED_CERT のエラーコードが表示される理由と、その解決方法について説明します。
目次
このエラーコードの意味は?
安全な接続を行う間、ユーザーの接続先が意図した相手であり接続が暗号化されていることを確かにするため、ウェブサイトは信頼された 認証局 (Certificate Authority) により発行された証明書を提示しなくてはなりません。「警告: 潜在的なセキュリティリスクあり」というエラーページで のボタンをクリックし、エラーコードに SEC_ERROR_UNKNOWN_ISSUER または MOZILLA_PKIX_ERROR_MITM_DETECTED と表示された場合、これは、Firefox が知らない認証局により発行された証明書が提示されており、そのページは信頼できないことを意味します。
複数の安全なサイトでエラーが発生する
複数の互いに関係のない HTTPS サイトでこの問題が起こる場合、あなたのシステムまたはネットワーク上の何者かが接続に割り込み、Firefox により信頼されていない方法で証明書を注入していることを示します。多くの原因は、暗号化された接続またはマルウェアの盗聴をスキャンするため、セキュリティソフトウェアが正当なウェブサイトの証明書を独自のものに置き換えていることです。特に、MOZILLA_PKIX_ERROR_MITM_DETECTED のエラーコードは、Firefox が接続妨害を検知したことを示します。
ウイルス対策製品
サードパーティのウイルス対策ソフトは、Firefox の安全な接続を妨げることがあります。セキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。
サードパーティ製ソフトをアンインストールし Microsoft により提供される Windows のセキュリティソフトを使用することを推奨します。
- Windows 8 とWidnwos 10 - Windows Defender (組み込み)
サードパーティ製ソフトをアンインストールしたくない場合、セキュリティ製品を再インストールしようとすると、ソフトウェア独自の証明書が Firefox の信頼する証明書ストアに再び追加されます。
セキュリティ製品ごとに、いくつかの解決策があります:
Avast/AVG
Avast または AVG のセキュリティ製品では、安全な接続への割り込みを無効にしてください:
- Avast または AVG アプリケーションのダッシュボードを開いてください。
- を開き、 > > の順にクリックします。
- シールド設定のセクションまで下へスクロールし、 をクリックします。
-
- この製品の古いバージョンでの相当するオプションは、> > の順に開き、 の横の をクリックします。
設定のチェックを外し、確認の ボタンをクリックします。
詳しくは、Avast のサポート記事 アバスト アンチウイルスの ウェブシールドの HTTPS スキャンの管理 をご覧ください。この機能についての詳しい情報は、Avast Blog (英語) をご覧ください。
Bitdefender
Bitdefender のセキュリティ製品では、安全な接続への割り込みを無効にしてください:
- Bitdefender アプリケーションのダッシュボードを開いてください。
- をクリックし、 セクション内の をクリックします。
- Encrypted Web Scan 設定をクリックしてオフに切り替えます。
- この製品の古いバージョンでの相当するオプションは、SSL スキャン 設定をオフに切り替えます。から を開き、
Bitdefender Antivirus Free では、この設定を変更することができません。安全なウェブサイトへのアクセス時に問題が起こったときは、代わりに プログラムの修復または削除 を試してください。
企業向けの Bitdefender 製品については、Bitdefender Support Center ページ (英語) を参照してください。
Bullguard
Bullguard セキュリティ製品は、Google、Yahoo、Facebook のような主要なサイトで安全な接続の盗聴を無効化できます:
- Bullguard アプリケーションのダッシュボードを開きます。
- Advanced ビューを有効にします。 をクリックし、パネルの右上の
- > の順に開きます。
- エラーメッセージが表示されるウェブサイトの オプションのチェックを外します。
ESET
ESET セキュリティ製品では、SSL/TLS protocol filtering 設定をいったん無効にし、再度有効にしてみてください。または、ESET のサポート記事 (英語) に書かれた手順で、安全な接続への割り込みを無効にしてください。
Kaspersky
影響を受ける Kaspersky ユーザーは、最新のセキュリティ製品へアップグレードしてください。Kaspersky 2019 以降のバージョンには、この問題を軽減する機能が含まれています。Kaspersky ダウンロードページ にある "upadte" リンクから、現在のサブスクリプションで無償で最新バージョンをインストールできます。
それ以外のバージョンでは、安全な接続への割り込みを無効にしてください:
- Kaspersky アプリケーションのダッシュボードを開いてください。
- 左下の をクリックします。
- をクリックし、次に をクリックします。
- 暗号化された接続をスキャンする オプションのチェックを外し、 ボタンをクリック、 ボタンをクリックしてください。 セクションの
- 最後に、変更を有効にするため、システムを再起動してください。
Windows アカウントのファミリーセーフティ設定
ファミリーセーフティ設定により保護された Microsoft Windows アカウントでは、Google や Facebook、YouTube など人気のウェブサイト上の安全な接続は、Microsoft により割り込まれ、フィルタリングと検索アクティビティを記録するため、サイトの証明書が Microsoft により発行された証明書と置き換えられます。
これらのアカウントのファミリー機能をオフにする方法は、Microsoft ヘルプのページ をお読みください。影響のあるアカウントで不足した証明書を手動でインストールしたい場合は、Microsoft サポートの記事 を参照してください。
企業ネットワーク内でのモニタリングまたはフィルタリング
企業のネットワーク環境で利用されている通信をモニタリングまたはフィルタリングする一部の製品は、ウェブサイトの証明書を製品独自のものと置き換えて暗号化された接続に割り込みます。この割り込みと同時に、安全な HTTPS サイトでのエラーが発生する可能性があります。
この事例が疑われる場合は、IT 部門に問い合わせて Firefox の証明書ストアに必要な証明書が配置され、Firefox がそのような環境で正しく動作するように設定してください。IT 部門向けの詳しい情報は、Mozilla の Wiki ページ CA:AddRootToFirefox をご覧ください。
マルウェア
一部の形態のマルウェアは、暗号化されたウェブ通信に割り込み、このエラーメッセージの原因となることがあります。マルウェアが引き起こす問題のトラブルシューティング の記事を参照し、マルウェアの問題に対処してください。
特定のひとつのサイトでエラーが発生する
この問題が特定のひとつのサイトでのみ起こる場合、この種類のエラーは、一般的にウェブサーバーが正しく設定されていないことを意味します。しかしながら、このエラーが Google や Facebook などの主要なサイトや金融取引が行われるサイトで起きる場合は、上記の手順 に従ってください。
Symantec に属する認証局によって発行された証明書
Symantec ルート認証局によって発行された証明書の数々の不正が明らかになったのち、Mozilla を含むブラウザーベンダーは、その製品内で、その証明書を信頼しないよう徐々に削除しています。Firefox はもはや、Symantec により発行された証明書を信頼しません。これには、GeoTrust および RapidSSL、Thawte、Verisign ブランドの下で発行された証明書も含まれます。 詳しい情報は、この Mozilla のブログ記事 (英語) をご覧ください。
この場合に表示されるエラーは MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED ですが、一部のサーバーでは代わりにエラーコード SEC_ERROR_UNKNOWN_ISSUER が表示されるでしょう。このエラーが表示されるサイトに出くわした場合、そのウェブサイトの所有者に問題を知らせてください。
Mozilla は、影響を受けているサイトの運営者がこれらの証明書をただちに置き換えることを強く推奨します。詳しいヘルプは、この DigiCert のブログ投稿 と DigiCert のツール をご覧ください。
中間証明書の不足
中間証明書が足りていないサイトでは、エラーページの
をクリックした後に、以下のエラーメッセージが表示されます:サーバーが適正な中間証明書を送信しない可能性があります。
追加のルート証明書をインポートする必要があるでしょう。
ウェブサイトの証明書が信頼された認証局により発行されたものでない自己署名の可能性があり、信頼された認証局への証明書チェーンが完結していない (中間証明書が足りない) ものが提示されています。ウェブサイトの所有者に問い合わせてエラーのことを知らせてください。
SSL Labs のテストページ のようなサードパーティ製ツールにウェブサイトのアドレスを入力することにより、サイトが適切に設定されているかテストできます。"Chain issues: Incomplete" という結果が返ってきた場合、適切な中間証明書が不足しています。
アクセスについての問題があることをそのサイトの所有者に知らせてください。
自己署名
自己署名をしているサイトでは、エラーページの
をクリックした後に、エラーコード ERROR_SELF_SIGNED_CERT と以下のエラーメッセージが表示されます:自己署名は、承認された認証機関によって発行されていないため、既定デフォルト では信頼されていません。自己署名はデータを盗聴から守りますが、データの受信者については何も言及していません。これは、一般公開されないイントラネットでよく使用され、そのようなサイトでは警告を回避することがあります。
警告を回避する
エラーを許容できるウェブサイトであれば、そのサイトに訪れるために、その証明書が既定デフォルト で信頼されていないにもかかわらず、警告を回避できます:
- エラーの警告ページで、 ボタンをクリックします。
- ボタンをクリックします。