情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

【Chrome】「NET::ERR_CERT_REVOKED(証明書が失効)」エラーで突然サイトにアクセスできなくなる現象の増加について

Chrome (238) Edge (45)

2021年1月21日以降、Chromeから特定のサイトにアクセスした際に「この接続ではプライバシーが保護されません ○○ では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。 NET::ERR_CERT_REVOKED」というエラー画面が表示され、アクセスできない問題の発生が増加しています。

この現象が運営サイトで発生している場合の対策などについての参考情報を紹介します。

「NET::ERR_CERT_REVOKED」エラーでアクセスできない

21日より突然発生が増えたのが次のエラーです(○○.○○ には、そのサイトのドメインが表示されます):

この接続ではプライバシーが保護されません
○○.○○ では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。
NET::ERR_CERT_REVOKED

Chrome の最高レベルのセキュリティで保護するには、保護強化機能を有効にしてください。

詳細を開くと次のように表示されます:

○○.○○ では通常、暗号化して情報を保護しています。今回、Google Chrome から ○○.○○ への接続試行時に、このウェブサイトからいつもとは異なる誤った認証情報が返されました。悪意のあるユーザーが ○○.○○ になりすまそうとしているか、Wi-Fi ログイン画面で接続が中断された可能性があります。データのやり取りが行われる前に Google Chrome によって接続が停止されたため、情報は引き続き保護されています。

○○.○○ は証明書が失効しているため、現在アクセスできません。通常、ネットワーク エラーやネットワークへの攻撃は一時的なものです。しばらくするとページにアクセスできるようになります。

証明書の有効期限が切れているわけではない

こちらについて、「証明書の期限切れかな?」と思って証明書の内容を確認してみても、有効期限はまだ先で、期限が切れているわけではない、という様子を確認することができます。

中間CA証明書の失効?

この1月21日より発生が一時的に増加した点や、証明書の発行元の情報を確認すると、次の告知が関連しているのではないかとの仮説が立ちました:

クイック認証SSLで発行されている一部の証明書が依存している中間CA証明書が2021年1月20日(水)に失効される予定なので再発行するように、との告知です。

なお、対象は「証明書発行日」が「2020年8月14日以前」、「有効期間終了日」が「2021年1月20日以降」と案内されています(1月20日より前であれば、それ以前に有効期間が切れるため、告知の対象外、ということと思われます)。

中間CA証明書を比べてみる

実際にこの問題が発生しているサイトの利用している中間CA証明書をWindowsで確認してみると、「証明のパス」で「CN=GlobalSign RSA DV SSL CA 2018、O = GlobalSign nv-sa、C = BE」との記載がありました。

こちらについて確認すると、「クイックSSL」のサポートページにて、同じCN/O/Cの中間CA証明書(シリアル番号や拇印も一致)が掲載されており、エラーが発生しているサイトで利用されていた中間CA証明書と一致することが分かりました。

また、ちょうどこの中間CA証明書によって発行されていた証明書は2020年3月13日以前の発行分である、と記載されているため、先ほどの対象証明書発行日と同じタイミングであることから(表記上1日ずれているけれど)、今回失効が行われた中間CA証明書はこれで、まさにエラーが発生しているサイトの証明書が利用している中間CA証明書もこれであるため、前述の「クイック認証SSLの再発行」の案内の対象であるために発生しているエラーのようでした。

対策について

そのため、サイト運営側としては、証明書の確認が必要で、「中間CA証明書の移行に伴うクイック認証SSLの再発行のお願い」の記載内容が参考になりそうです(前述の中間CA証明書/クイックSSLを利用している場合)。

またユーザーとしては、この対応を待ってから再度アクセスすることで、エラーが発生せずにアクセスできるようになるかと思われます(なお後述するとおり、別のブラウザであれば閲覧できる場合がある)。

特に証明書にエラー表示がない

ただここでひとつ気になったのは、Chrome上ではエラーになるものの、Windowsのビューワーで証明書を見る限り特に問題があるような表示は行われず「この証明書は問題ありません」と表示されるため、証明書の詳細を見ても原因が見て取れない点です。そのため何が悪いのだろう?となってしまいがちで、実際に調べてみると以上のようなことが分かった、という形です。

なお、その辺りが関連してか、Firefoxから同じサイトにアクセスした場合はエラーにならずに閲覧できるようだったりと、挙動にもどうやら違いがある様子でした。

Edge等その他の場合

Chromium版Edgeでは、次のエラーメッセージが表示されました。

プライバシーエラー

接続がプライベートではありません
攻撃者が、○○.○○ から個人情報 (パスワード、メッセージ、クレジットカードなど) を盗み取ろうとしている可能性があります。
NET::ERR_CERT_REVOKED

○○.○○ では、暗号化を使用してユーザーの情報を保護しています。Microsoft Edge が ○○.○○ に接続しようとして、この Web サイトから通常と異なる正しくない資格情報が返されました。これは、攻撃者が ○○.○○ として偽装しようとしている場合や、Wi-Fi のサインイン画面で接続が中断された場合に発生する可能性があります。データ交換が行われる前に Microsoft Edge によって接続が停止されたため、ユーザーの情報は引き続き安全な状態です。

現在、○○.○○ にアクセスできません。証明書が失効しています。通常、ネットワークのエラーや攻撃は一時的なものであるため、時間を置くとこのページを正常に使用できる可能性があります。

Kaspersky有効時(Chrome):

証明書の検証時に問題が発生しました

頼済みでないWebサイトの閲覧がブロックされました
このWebサイトの1つ以上の証明書が無効であるため、信頼性を確認できません。これは、Webサイトの所有者が証明書を更新していないか、偽装サイトである可能性があります。このようなWebサイトを閲覧すると、攻撃を受ける可能性があります。

カスペルスキーのセキュリティがこのWebサイトへのアクセスからお客様を保護したため、ウィンドウを閉じても問題ありません。

コメント(0)

新しいコメントを投稿