情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

Google Chrome「NET::ERR_CERT_SYMANTEC_LEGACY(この接続ではプライバシーが保護されません)」って何?について

Chrome (239) Firefox (26)

Google Chromeでのウェブサイトの閲覧や、入力フォームからの送信などを行った際に「この接続ではプライバシーが保護されません(NET::ERR_CERT_SYMANTEC_LEGACY)」と表示される場合があります。

このエラーが出る原因や、ブラウザごとの扱いの違いについて。

Chromeの「NET::ERR_CERT_SYMANTEC_LEGACY」エラー

デスクトップ版やAndroid版のChrome最新版(Chrome 66)を利用していると、一部のウェブサイトを閲覧する際に次のエラーメッセージが表示される場合があります。

この接続ではプライバシーが保護されません

www.***.*** では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。[詳細]
NET::ERR_CERT_SYMANTEC_LEGACY

[ ] 危険なアプリやサイトの検出に役立てるために一部のシステム情報やページのコンテンツを Google に自動送信する。[プライバシー ポリシー]

[詳細情報を表示しない] [セキュリティで保護されたページに戻る]

このサーバーが www.***.*** であることを確認できませんでした。このサーバーのセキュリティ証明書は、ご使用のパソコンのオペレーティング システムによって信頼されているものではありません。原因としては、不適切な設定や、悪意のあるユーザーによる接続妨害が考えられます

www.***.*** にアクセスする(安全ではありません)

Symantecの発行した証明書が原因のエラー

このエラー「NET::ERR_CERT_SYMANTEC_LEGACY」には、「Symantec」という会社名が直接含まれています。

というのも、このエラーは、Symantecから発行されたサーバ証明書は信頼しませんというエラーだからです。

背景

以前、Symantecのパートナー企業が不適切なサーバ証明書の発行をしていたことが発覚しました。

Googleはそれに対してSymantecの認証局(ジオトラストやRapidSSL、Thawteなど)から発行されたサーバ証明書をすべて信用しないことを決めました。

その結果、Chrome 66 から、Symantec認証局から発行された証明書の中でも発行時期が古いものを無効化(エラー扱い)とし、さらにChrome 70には、発行時期にかかわらず、全ての証明書をエラー扱いにすることとなったわけです。

その第一弾がChrome 66のリリースによって一般に公開され、現在「NET::ERR_CERT_SYMANTEC_LEGACY」エラーが表示されるユーザーが増えています。

※このエラーは、あらかじめ発生が予定されていたもので、それまでにサーバー運営側が証明書の入れ替え作業などを行っておけば、回避できたものです。

Firefoxも同様にエラー

Googleのように、Symantecの発行した証明書を丸ごと信頼しないことにしたのが、Firefoxを提供するMozillaです。

そのため、Firefoxでも同じウェブサイトにアクセスすると、エラーになります。

安全な接続ではありません

www.***.*** の所有者によるウェブサイトの設定が不適切です。あなたの情報が盗まれることを防ぐため、このウェブサイトへの接続は確立されません

[詳細...]

[ ] エラーを報告すると、悪意のあるサイトの特定とブロックに役立ちます

[戻る] [エラー内容]

www.***.*** は不正なセキュリティ証明書を使用しています

この証明書は信頼されている提供元から得られたものではありません

エラーコード: MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED

「この証明書は信頼されている提供元から得られたものではありません」という表現が今回「Symantec」のことを指しているようです。

しかしその他のブラウザはエラーなし

しかしその一方で、その他の主要ブラウザ、具体的には「Internet Explorer」「Microsoft Edge」「Safari (Mac/iPhone等)」は今のところこの「Symantec丸ごと」の対策を採用していないようです。実際、現在同じサイトにアクセスしても、特にエラーなく利用することができました

したがって現在、「ChromeとFirefoxを使っている人だけエラーになる」というサイトが発生している状態です。

対策について

送信する情報の重要性にも依りますが、個人情報を送信しない「閲覧のみ」のような利用などであれば、そのサイトを閲覧する際は、エラーの詳細情報の中に表示されている「○○にアクセスする(安全ではありません)」ボタンを利用したり、別のブラウザ(EdgeやSafariなど)を利用するようにするなどといった対策方法が考えられます(「httpsではなくhttpのサイトだと思って利用する」方法)。

ただその一方で個人情報を送信する場合となると、ひとまず「○○にアクセスする(安全ではありません)」を利用するのは怪しい対応となります(エラーの厳密な原因が判別できないため、無視して良いものなのか判断しにくい)。一方、「Edge」や「Safari」で同じサイトにアクセスしてみてエラーが出なければ、Chromeの厳しめのセキュリティ強化の影響であると考えられるため、そのまま「Edge」や「Safari」を使ってアクセスするという対策が可能ではないかと思われます(「もとからEdge/Safariを使っていた人と同じ状況で利用する」方法)。

この対策は、「Chrome/Firefoxが信用していない証明書なのに、EdgeやSafariを使って迂回するとは何事か!」と考えると良くない対策のように感じるのですが、その考え方を採用してしまうと、逆に「じゃぁどうしてEdgeやSafariの利用を非推奨にしないのか。EdgeやSafariを使っていたら、Symantecの証明書に気が付けもしない。本当にダメなことなら、普段からEdgeやSafariを使っている人に対して利用中止を呼びかける必要があるだろう」という話になってしまいます。しかし現状、国の機関などから「EdgeやSafariの利用を非推奨とする案内」が出された、という話は耳にしていません。そのためここは、Google/Mozillaの比較して厳しい運用に賛同するか、それともMicrosoft/Appleの運用を信頼するか、といったユーザーの判断に委ねられるのが現状なのではないかと思います。

実際、「エラーが出るもののChrome/Firefox以外のブラウザを利用することは考えられない」という場合は、エラーが表示されたそのサイトを利用しないことにする、もしくは、証明書の変更などウェブサイト側の対応が完了するのを待つ、というのがこのエラーに対する対策となります。

参考:各サイトの例

インターネットラジオサイト「音泉」にてこのエラーが発生しているのですが、「よくあるご質問」に「『この接続ではプライバシーが保護されません』のページが表示されます。」という項目を設け、次の通り案内しています。

「音泉の番組」をお探しいただく際に、お名前やメールアドレス・電話番号などの個人情報をご入力いただく必要はありません。
検索ワードに個人情報を入力されないよう留意いただき、安心して「よくある質問」ページをご活用ください。

なお、お問い合わせフォーム、メールフォームは、暗号化技術を利用した安全な通信を行っております。
安心してご登録情報をご提供ください。
*ご登録情報を十分にお伝えいただけない場合、お問い合わせに回答できないことがあります。

今後表示されないように対応する予定になっておりますが、
現在の対応方法といたしまして、『この接続ではプライバシーが保護されません』のページが表示されたら
詳細を表示しonsen.agにアクセスするを選択することで通常通りご使用いただくことができます。 引用元

以前、市町村の証明書期限切れの例を紹介しましたが、今回のこのエラーも、自治体のウェブサイトで表示される例があるようです(山形県寒河江市のウェブサイト):

参考

関連

コメント(0)

新しいコメントを投稿