情報ネットワーク

スーパーセキュリティを利用していたら「このWebサイトのセキュリティ証明書には問題があります」と表示された

「スーパーセキュリティ」というセキュリティソフトを利用しているパソコンで、「インターネットを見ていたら、表示されなくなった」という相談があり、調べてみました。



スーパーセキュリティは、ソースネクスト販売の買い切り型のセキュリティソフトです。



■ネットが表示されなかった動作環境

os: windows 8.1
ブラウザ:ie11
セキュリティソフト:スーパーセキュリティ

■エラーメッセージ

このwebサイトへのセキュリティで保護された接続に問題があります。
このwebサイトから提供されたセキュリティ証明書は安全ではありません。



以上のメッセージが、yahooやgoogleといった定番サイトでも表示される。

実際には「ネットにつながらない」のではなく、「ウェブサイトに接続できない」状態でした。

■結果

スーパーセキュリティの「web保護」の設定から、
「sslのスキャン」という項目をオフにしたところ、
ウェブページが表示されるように改善しました。

また、オンに戻すとまたエラー状況が再現しました。


■考察1:システム時刻の確認

ちなみに、原因を特定できるまでに、まず、調べたことはシステムの時刻の確認です。
時刻が大きく未来の時刻になっている場合に、セキュリティ証明の期限が過ぎていると認識されてしまうことがあります。

しかし、今回は時刻に大きな狂いはありませんでした。



ただ、上記のネット接続のエラーからか、インターネット時刻の同期もうまくいっていなかったようで、20分ほど遅れていました。

時刻を手動で修正しても問題は解決しませんでした。

■考察2:ssl接続のurlアドレスか確認

ブラウザのホームのアドレスが「http://www.yahoo.co.jp」のようにsslになっていなかったのが気になったので、「https://www.yahoo.co.jp」に変更しました。

しかし、問題は改善しませんでした。

■考察3:ブラウザの設定からsslキャッシュをクリア

ブラウザのssl証明書のキャッシュが壊れている可能性を考えて、キャッシュをクリアしました。


しかし、問題は改善しませんでした。

■考察4:セキュリティソフトの解除

セキュリティソフト「スーパーセキュリティ」の保護機能を一時的にオフにしました。

問題現象はなくなりました。

そこで、保護機能を部分的にオフにしていくことで原因機能を探しました。

■sslのスキャン

すると、「web保護」のなかの「sslのスキャン」のオン・オフが現象に影響していることがわかりました。

sslのスキャン・有効→接続エラーあり
sslのスキャン・無効→接続エラーなし

これにより、スーパーセキュリティが、webサイトの有効なssl証明書に対して、「無効」とみなしていることがわかりました。

■調査:ソースネクストのサポート情報

「スーパーセキュリティ ネットに繋がらない ssl」と検索して調べたところ、以下のようなページが見つかりました。


一部Webページが表示されない・Webページでログインできない 【スーパーセキュリティ】|ソースネクスト総合サイト
「このWebサイトのセキュリティ証明書には問題があります」と表示される|ソースネクスト総合サイト

■原因調査の方法:スーパーセキュリティの機能

上記1つ目の情報によると、sslスキャン以外にも考えられる原因として、以下の4つの方法を示しています。


  • 「ペアレンタル」機能をoff
  • 「SSLスキャン」機能をoff
  • 「ファイアウォール」機能をoff
  • すべての機能を停止


いずれも「危険なネット接続を停止する」ための機能です。

■原因解決の方法:スーパーセキュリティの証明書を更新する

上記2つ目の情報によると、この問題の原因は、スーパーセキュリティのアップデート配信時に更新される本製品の証明書が、一部の環境で更新されなかったことが考えられます。

2015-07-12にすべての環境で更新されるように修正アップデータを配信したので、スーパーセキュリティのアップデートをしたうえで、パソコンを再起動するように指示されています。

■スーパーセキュリティの更新をしても改善しない場合 fake-ca(.crt)

アップデート後も上記のメッセージが表示される場合は、 以下の手順で証明書を手動でインポートできます。

今回もアップデートでは改善しなかったので、以下の手順を実行しました。

■手順

1.スタートメニューから「コンピューター」を開き、Cドライブ- 「Program Files」-「スーパーセキュリティ」-「スーパーセキュリティ」-「mitm_cache」フォルダを開きます。
フォルダ内の「fake-ca(.crt)」ファイルをダブルクリックします


2.証明書のインポート画面が起動しますので、「証明書のインストール」をクリックします

3.「次へ」をクリックします
4.「証明書をすべて次のストアに配置する」を選択して「参照」クリックします

5.「信頼されたルート証明機関」を選択して「OK」をクリックします
6.証明書ストアが「信頼されたルート証明機関」になっていることを確認して「次へ」をクリックします

■解決

これによって「sslのスキャン」を有効にした状態でも、インターネットのウェブサイトに接続することができました。

スーパーセキュリティは、ブラウザで閲覧しているssl証明書を、事前に更新している内部キャッシュの「ルート証明機関」と照合して、接続してよいか判断していることがわかりました。