購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
15666
閲覧回数
6
いいね!
0
コメント

Umbrella: サーバー証明書エラーの原因について

tkitahar
Cisco Employee
Cisco Employee

‎2017-11-30 05:57 PM

 

※ 2017 年 11 月 30 日現在の情報をもとに作成しています

 

1. はじめに

 

Umbrella の HTTPS 通信に関する機能を使っている時に、Web ブラウザ上でサーバー証明書エラーが表示される場合があります。本記事では、ブロック ページ機能を例に、その原因と対処方法について説明します。

 

2. エラーの原因

 

エラーについて説明をする前に、まずはブロック ページ機能の動作について解説します。例として、ユーザーが Web ブラウザで悪意あるサイト www.■■■.com に HTTP アクセスするものとします。

 

最初に www.■■■.com の IP アドレスを調べるため、Umbrella の DNS サーバーに対して問い合わせが行われます。そして Umbrella の DNS サーバーは、このドメインが悪意あるものと判断し、「ブロック ページ用サーバーの IP アドレス」を返します。

 

その後、クライアント PC の Web ブラウザは、この IP アドレスに対して www.■■■.com へのアクセスを行いますが、ブロック ページ用のサーバーは「ブロック ページ」を返します。これが基本的なブロック ページ機能の動作になります。

 

flow.png

 

もしこのアクセスが HTTPS だった場合、どうなるでしょうか。

 

最初の DNS のやり取りは HTTP と同じです。その後、クライアント PC による HTTPS アクセスが行われますが、ブロック ページ用のサーバーは、ブロック ページを返す前に「www.■■■.com のサーバー証明書」を返す必要があります。

 

もちろん、ブロック ページ用のサーバーは、www.■■■.com のサーバー証明書なんて持っていませんので、その場でサーバー証明書を生成し、Umbrella 自体が署名をしてクライアント PC に返します。

 

flow2.png

 

 

その後、証明書を受け取ったクライアント PC は、受け取ったサーバー証明書の中身を検証しますが、そのようにして生成された証明書が信頼されるはずもなく、Web ブラウザに以下のようなエラー (画像は Microsoft Edge の場合) が表示されます。

 

edge.png

 

そして、実際にこの証明書エラーの内容を見てみると、証明書への署名に使われた証明機関が「Cisco Umbrella Root CA」という名前であることが分かります。

 

error.png

 

もし、正式に証明書を発行している証明機関が署名した証明書であれば、OS や Web ブラウザにこれらの証明機関自体の証明書が事前にインストールされており、サーバー証明書の検証で当該のエラーは発生しません。

 

一方で Cisco Umbrella Root CA は、前述のとおり「自組織で管理していないドメインに対し、その場で署名を行う」という通常とは異なる使い方がされますので、OS や Web ブラウザに事前にインストールされておらず、当該のエラーも発生します。

  

以上を一言でまとめると、このサーバー証明書エラーの原因は、「Umbrella が使用している Cisco Umbrella Root CA という証明機関を Web ブラウザが信頼しない」ことによるものです。

 

3. 対処方法

 

前項で述べた通り、Cisco Umbrella Root CA を Web ブラウザが信頼しないことがこのエラーの原因ですので、対処方法は「Web ブラウザに信用させる」ことになります。

 

具体的には、Cisco Umbrella Root CA の証明書を、OS や Web ブラウザが用意する「証明書の保存場所」にインストールすることになります。

 

具体的な手順は使用している OS や Web ブラウザによって様々ですが、以下の公開文書に詳しく記載されています。

 

Cisco Certificate Import Information
https://docs.umbrella.com/product/umbrella/rebrand-cisco-certificate-import-information

 

「そのような証明書をインストールしてセキュリティ的に問題ないか?」という疑問をもたれるかもしれませんが、Cisco Umbrella Root CA の証明書は Cisco が正式に用意したものであり、上述の公開文書の手順に従って正しくインストールを行えば、問題はありません。

 

4. 対象となる Umbrella の機能

 

これまでブロック ページ機能を例に説明を行ってきましたが、Umbrella の HTTPS 通信に関係する他の機能でも同様のエラーが発生する場合があります。以下に対象となる Umbrella の機能の一覧をあげています。

 

- ブロック ページ機能
- Intelligent Proxy の SSL Decryption 機能
- ブロック ページのバイパス機能

 

なお、対処方法についてはどれも同じで、Cisco Umbrella Root CA の証明書をインストールすることになります。

 

SSL Decryption in the Intelligent Proxy
https://support.umbrella.com/hc/en-us/articles/115004564126-SSL-Decryption-in-the-Intelligent-Proxy

 

Why do I see certificate errors when using blocked page bypass?
https://support.umbrella.com/hc/en-us/articles/230563107-Why-do-I-see-certificate-errors-when-using-blocked-page-bypass-

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents