Internet ExplorerやChrome、SafariなどのブラウザでインターネットのWebサイトを閲覧した際に、「このWebサイトのセキュリティ証明書に問題があります」というメッセージが表示されてしまうことがあります。普通にサイトを開こうとしただけなのに、あまり馴染みのない「セキュリティ証明書」という言葉と、「問題があります」と言うメッセージで困惑してしまうかもしれませんが、何もいきなりコンピュータウイルスにかかったというわけではありませんので安心して下さいね。
多くの場合、セキュリティが脅かされたのではなくこのままサイトを表示させるとセキュリティ上問題があるとブラウザ側が警告してメッセージを表示しています。
一体何が原因になっているのか、またどのようにすれば解決するのかはブラウザの種類や具体的なメッセージ内容によって異なります。
解説の都合でどうしても専門用語が登場しますが、当記事ではできるだけわかりやすく説明していきます。
当記事の内容をご理解頂くことで、上記メッセージが表示された場合でも落ち着いて対応する助けになれば幸いです。
「このWebサイトのセキュリティ証明書に問題があります」とは
開こうとしているWebサイト側に問題がある可能性があります。サイトの提供元が不明であったり、信頼性の低い場合は閲覧しないことをお勧めします。無視して閲覧を続けると、入力した個人情報を悪意のある第三者に盗み見されたり、偽サイトに誘導されて金銭的な被害を被る恐れがあります。
※ただし、明らかに信頼できるサイトの場合は閲覧を「続行」して問題ありません。(例:政府や自治体発行のパンフレットに記載のURLなど)
Windowsやタブレットを使っていて突然、音とともにエラー検出の画像が表示されると閉じるか戻るか不安になりますよね。危険な偽ソフトや電話がニュースになる場合もあるのでパソコン、スマホ端末のOS環境に導入されていなかった広告ブロックのようなソフトは機能がポリシーでサポートされていないので自身の判断が大切になります。
セキュリティ証明書とは
セキュリティ証明書とは、Webサイトにおける「このサイトは安全です」という身分証明書のようなもので、Webサイト内の通信内容が暗号化されることを意味しています。デジタル証明書、サーバ証明書とも呼ばれます。
セキュリティ証明書の利用例
一般的な例として、以下のような場所で利用されています。
・ネットショッピング
・ネットバンキング
・e-Tax(オンライン納税)
上記サービスでは各種の手続きを行うために個人情報やパスワードの入力が求められるため、セキュリティ証明書を発行して安全性を確保しています。
近年ではネットショッピングやネットバンキングのように便利なサービスが多く登場しました。一方で、重要なデータや個人情報を盗み見たり偽サイトに誘導するようなサイバー犯罪が問題となっています。
通常、Webサイトの表示やメール内容などインターネットを介した通信は暗号化されておらず、悪意のある第三者からの通信傍受、フィッシング、なりすましの被害に遭う恐れがあります。
セキュリティ証明書はそのWebサイトがなりすましではない本物であるという証明になり、またそのサイトでの通信は暗号化されるため情報漏洩を防ぐことにもなります。
セキュリティ証明書の発行
セキュリティ証明書は全てのサイトが発行できるわけではなく、サイト運営社がCA(Certificate Authority, Certification Authority)と呼ばれる認証局に申請を出し、受理されたものだけが発行されます。上の項目で挙げたようなオンラインサービスがセキュリティ証明書を発行されている場合、認証局のチェックを受けた信頼性のあるサービスとみなすことができます。
証明書に問題がある(証明書エラー)とはどういうこと?
セキュリティ証明書に問題があるということは、Webサイトの設定ミス、ブラウザやPC側のトラブルなどで証明書の信頼性が確保されていないということになります。セキュリティ証明書の信頼性が確保されていない=そのWebサイトを安全に閲覧できる保証が無い、という状態です。より具体的には、セキュリティ証明書がインストールされていない、証明書の期限が切れている、証明書の設置に問題がある、などが挙げられます。
CAは申請に応じてセキュリティ証明書を発行することで、申請元(企業など)の実在を証明しています。
セキュリティ証明書で使われている暗号化技術を利用した通信の仕組みについて、代表的なものにSSL(Secure Socket Layer)、またはTLS(Transport Layer Security)があります。暗号化されたページURLは通常の”http://”ではなく”https://”となり明確に区別されます。
セキュリティ証明書に問題がある場合、大きく分けてサーバー(Webサイト)側の問題かクライアント(ブラウザ)側の問題どちらかに原因があります。
セキュリティ証明書の「有効期限切れ」がスマホ・パソコンがでる
セキュリティ証明書には有効期限があります。スマホ、パソコンで一度セキュリティ証明書を発行して正常にアクセスできていたとしても、有効期限が切れてしまうと再びエラーが出てしまいます。セキュリティ証明書は「有効期限切れ」と表現される場合もあります。
スマホ・android・インスタ・ドコモ(dメニュー)・らくらくスマホで「セキュリティ証明書に問題があります」
スマホ・android・インスタ・ドコモ(dメニュー)・らくらくスマホといったスマホデバイスで発生するケースが多く報告されています。セキュリティ警告という文言とともに表示され「続行」するかを求められます。
警告を無視して「続行」して大丈夫かどうかは次で解説していきます。
セキュリティ警告「セキュリティ証明書に問題があります」は無視・続行しても問題ない?
セキュリティ警告「セキュリティ証明書に問題があります」は無視しても問題ないのでしょうか。セキュリティ対策が万全ではないため、無視してそのままサイトを表示することは好ましくありません。そのWebサイトを通じてPCやスマホがウイルスに感染したり、偽サイトに誘導されることで個人情報を提供してしまったりする恐れがあるからです。
このような警告メッセージは主にChrome(またはChromeベースのブラウザ)を使用した際に表示されます。この表示が出たサイトは、通常のページ(http://)と暗号化されたページ(https://)がそれぞれ存在することを意味します。
表示しているWebサイトのURLがhttps://で始まっているか、まず暗号化されたページの有無を確認してみましょう。
「このWebサイトのセキュリティ証明書に問題があります」の原因
原因はいくつか考えられますが、サーバー(Webサイト)側、クライアント(ブラウザ)側で何らかの問題が起こっている可能性があります。
・セキュリティ証明書の期限切れの場合
・Webサイトが何らかの攻撃を受けている場合
・ブラウザのバージョンが古い場合
・PCの設定時刻にずれがある場合
などです。
原因1.セキュリティ証明書の期限切れ
そのWebサイトに適用されているセキュリティ証明書の有効期限が切れているか、認証局には申請したもののまだ発行されていないため、期限が有効になっていないかのどちらかです。セキュリティ証明書には有効期限があり、申請した認証局によって期限は異なります。
原因2.Webサイトが何らかの攻撃を受けている
言葉通り、閲覧しようとしてるWebサイトが悪意のある第三者から何らかの攻撃を受けている可能性があります。
原因3.ブラウザのバージョンが古い
ブラウザを最新版にアップデートせず長期間使用していると、セキュリティ証明書を認識できずエラーメッセージとなる場合があります。暗号方式というのはこれまでSSLが主流でしたが、脆弱性の問題が見つかったため現在ではTLSが一般的となっています。SSLを用いた通信ができない仕様に変更されたため、未だにSSLを要求するWebサイトはセキュリティの観点から閲覧しないことをお勧めします。ブラウザのアップデート情報を確認し、常に最新の状態を保って下さい。
原因4.PCの設定時刻にずれがある
PCの設定時刻が現在時刻とずれていると、まれにこのようなエラーメッセージが表示されてしまいます。
【セキュリティ警告】証明書エラーのパターン
証明書エラーとなるパターンはいくつかあり、主に証明書が信頼できないものであるか、そもそもそ証明書がインストールされていない場合がほとんどです。ブラウザによって表示されるエラーメッセージには差異がある場合もありますが、同じ原因を表しています。
www.google.com は不正なセキュリティ証明書を使用しています。この証明書は www.google.com にだけ有効なものです。
WebサイトのFQDN(Fully Qualified Domain Name)と、サーバー証明書に記載のFQDNが異なる場合に表示されます。FQDNとは完全修飾ドメイン名とも呼ばれ、”www”のようなホスト名と”google.com”のドメイン名をつなげたものを表します。
この証明書は信頼できる認証機関のものではありません
Webサイトに適用されているセキュリティ証明書が正式な認証局から発行されたものでない可能性があります。または、中間証明書が無い場合が考えられます。
セキュリティ証明書は階層構造になっていて、ルート認証局が発行するルート証明書が階層トップにあります。サーバ証明書は中間認証局が保証し、中間認証局はルート認証局が保証します。Webサイト側で中間証明書のインストールが行われていないと、アクセスした時に中間証明書が適用されません。
このサイトのセキュリティ証明書の取り消し情報は、使用できません。続行しますか
後述のCRL(Certficate Revocation List)と呼ばれる証明書失効リストが取得できなかったか、OSCP(Online Certificate Status Protocol)によるオンラインチェックによって証明書の有効性を確認できなかったことが原因です。
ブラウザはセキュリティ証明書が本当に有効かどうかを検証するため、認証局が定期的に発行するCRLをチェックします。これによってセキュリティ証明書が失効していないかどうかを確認しています。
チェック方法は2つあります。1つは認証局が配布しているCRLファイルをダウンロードして証明書とCRLファイルのシリアル番号を比較すること、もう1つは証明書情報をOCSPに送信して応答を確認することです。前者はCRLファイルサイズが大きいため、後者のOCSPによるリアルタイムなチェックが一般的です。
dlg_flags_sec_cert_cn_invalid
セキュリティ証明書の認証局がそのブラウザでは信頼されていないことを意味します。
NET::ERR_CERT_COMMON_NAME_INVALID
そのサーバーは偽サイトの可能性があります。ブラウザに入力されたURLと、セキュリティ証明書に記載のドメイン名が異なる場合に表示されます。
類似したエラーには以下があります。記事でも解説しています。
・err_cert_common_name_invalid
・dlg_flags_sec_cert_cn_invalid
・net::err_cert_common_name_invalid
安全な接続ではありません
FirefoxブラウザにてURLがhttps://から始まる安全なWebサイトにアクセスした場合、そのWebサイトに適用されている証明書の確かさと、通信を保護できる暗号方式が使われているかを検証します。これが十分でない場合はサイトへのアクセスを中断し、上記メッセージを表示します。
信頼された証明機関がこの証明書を確認できません
この問題はサーバー側、クライアント側のいずれかに原因があります。サーバー側では中間CA証明書がインストールされていない、またはインストール後の設定が反映されてないか、証明書の種類が間違っていることが挙げられます。一方、クライアント側ではルート証明書がブラウザに登録されていないか、または削除されている可能性があります。
発行者の証明書が不明であるためこの証明書は信頼されません。
上記同様、サーバー側、クライアント側のいずれかに原因があります。
android「認証局がインストールされました不明な第三者」
androidでは「認証局がインストールされました不明な第三者」と通知される場合があります。adguardというセキュリティアプリの影響です。adguardは広告ブロックアプリなのでアンインストールしても問題ありません。
android「サイト名と証明書上の名前が一致しません」
androidでは「サイト名と証明書上の名前が一致しません」と表示される場合もあります。セキュリティ証明書で証明されているコモンネーム(CN)とサイトのアドレスが一致していないという意味です。セキュリティ証明書で何らかの証明はされているのですが、結果としてアクセスしたサイトのセキュリティは証明はされていない状態です。
REGZA「サーバーの証明書に問題があるため接続を中断します」
REGZAでは「サーバーの証明書に問題があるため接続を中断します」と表示されることがあります。メーカーの東芝に問い合わせると解決するようです。
楽天「セキュリティチェックに誤りがあります」
楽天のログイン時に「セキュリティチェックに誤りがあります」と表示されログインできない場合があります。IDの確認やパスワード再設定の手続きを行うとログインできるようになります。
「接続先サイトのセキュリティ証明書に問題があります」
「接続先サイトのセキュリティ証明書に問題があります」と表示される場合もあります。
「このサイトのセキュリティ証明書は信頼されません」
「このサイトのセキュリティ証明書は信頼されません」と表示される場合もあります。
「この証明書は信頼できる認証機関のものではありません」
「この証明書は信頼できる認証機関のものではありません」と表示される場合もあります。
「セキュリティ証明書の期限が昨日で切れています。」
セキュリティ証明書には有効期限があるので、有効期限が切れてしまったサイトにもセキュリティエラーが発生します。「この接続ではプライバシーが保護されません」と表示されることが多いようです。セキュリティ警告に関連して
「この接続ではプライバシーが保護されません」は以下でも解説しています。
この接続ではプライバシーが保護されません/
「お使いのpcはこのwebサイトのセキュリティ証明書を信頼しません」
「お使いのpcはこのwebサイトのセキュリティ証明書を信頼しません」と表示されることもあります。「このサイトは安全ではありません」と一緒に表示されることが多いようです。
このセキュリティ証明書の発行元については、信頼するかどうかが選択されていません。証明書を表示して、この証明機関を信頼するかどうかを決定してください。
セキュリティ警告で「このセキュリティ証明書の発行元については、信頼するかどうかが選択されていません。証明書を表示して、この証明機関を信頼するかどうかを決定してください。」と表示される場合もあるようです。
「このwebサイトのidまたはこの接続の完全性を確認できません」
セキュリティ警告で「このwebサイトのidまたはこの接続の完全性を確認できません」と表示される場合もあるようです。
スマホ・PC「このWebサイトのセキュリティ証明書に問題があります」の対処法
さて、このエラーメッセージの原因や表示されるメッセージのパターンをいくつか紹介してきました。本項では実際の対処法について説明致します。
エラーが起こっているのは、主にそのWebサイトのセキュリティ証明書の信頼性に問題があります。ですから、セキュリティ証明書の信頼性を確保することが解決につながります。証明書がインストールされていなかったり、期限が切れていたり、設定に誤りがあるのならば、それを解決することでエラーは発生しなくなります。
Windows10・IEの場合
Windows10+Internet Explorerにおけるクライアント(ブラウザ)側の対処法です。
セキュリティ証明書のインストール
ルート証明書のインストールが必要です。
Internet Explorerのメニュー「ツール」から「インターネットオプション」を選択します。
「コンテンツ」タブを選択し、「証明書」内にある「証明書のパス」の最上位にあるルート証明書を開き、ルート証明書を表示します。(Googleの場合、”GeoTrust Global CA”を表示)
「詳細」タブにある「ファイルにコピー」を選択し、このファイルに名前をつけて保存します。(例:Googleルート証明書.crt)
Internet Explorerのメニューから「コンテンツ」タブを選択し、「証明書」内にある「信頼されたルート証明機関」でインポーを選択、手順2で保存したルート証明書ファイルを選択します。
案内に従ってルート証明書ファイルをインポートします。
補足)IEで警告ダイアログを表示させない方法
⚠️セキュリティ上好ましくありませんが、どうしても警告を見たくない人向けの方法です。
Internet Explorerのメニュー「ツール」から「インターネットオプション」を選択します。
「詳細設定」タブを選択し、「サーバーの証明書失効を確認する*」のチェックを外します。
インターネットオプションダイアログの「OK」を選択します。
Androidスマートフォンの場合
Androidスマートフォン向けの対処方法です。※ブラウザは特に限定しておりません。
AndroidシステムのWebViewをアップデート(Android)
AndroidシステムのWebViewをインストールまたはアップデートする必要があります。
1.Google Playストアに移動
2.AndroidシステムのWebViewを検索
3.「インストール」または「更新」を選択
AndroidシステムのWebViewとは、Androidアプリ内でWebサイトを埋め込み表示するための仕組みです。これが原因でエラーが繰り返し表示される問題が発生する場合があります。
対処方法として、Google Playからシステムのアップデートを行い、Androidスマートフォンを再起動することで有効になります。アップデートしても直らない、またはアップデートができない場合は、ブラウザのアプリを最新版にアップデートしてみて下さい。
まとめ
以上から、「このサイトのセキュリティ証明書には問題があります」というメッセージが表示された場合、まずそのメッセージ内容を確認し、その問題がサーバー側とクライアント側のどちらで起こっているかを確認します。
サーバー側が原因の場合、ユーザーが直ちに対処できることはないため、サーバー管理者に問題を報告して解決してもらうことになります。クライアント側が原因の場合、ブラウザを最新の状態にアップデートする、別のブラウザで閲覧する、ルート証明書をインストールする、問題が解決するまでそのサイトの閲覧をやめるといった方法で対応することになります。
重要なことは、エラーメッセージが出た場合はその内容を理解して適切な対処法をとるということで、分からないまま闇雲に操作したり、無視してそのまま使い続けるといったことはセキュリティの観点から避けましょう。