キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

WLC 管理画面や Web Auth でのブラウザの証明書エラー画面について

 

 

 

 

概要

Technical Assistance Center の Wireless チームでは、ブラウザの証明書エラー画面を消したいというお問い合わせが定期的にあります。このエラーを消すためには well known certificate authority である Symantec 社等から証明書を購入し WLC にインストールするか、オレオレ証明書を全てのクライアントにインストールする必要があります。また、このエラー表示を WLC の設定で変更できないのか、できないのであれば Enhancement Request (改善要求) として開発側に伝えて欲しいと多々言われることがあります。WLC の設定でこのエラーを消す方法はなく、この要求は「HTTPS のセキュリティホールを見つけ出し、我々に教えてくれ」という要求に値します。この記事では上記を具体的に説明します。

 

 

なぜ証明書のエラー画面が表示されるのか

証明書のエラー画面が表示される原因は、出荷された WLC がオレオレ証明書を使用しているからです。HTTPS には 2 つの特徴があります。Symantec 社のページで詳細な説明がされていますが、特徴は通信の暗号化とウェブサイトの信頼性の担保です。オレオレ証明書を使用している場合 2 つ目の特徴を満たさないので、ブラウザが「このウェブサイトはオレオレ証明書を使用していて、危険を及ぼす可能性があるよ」とユーザへ警告します。

オレオレ証明書とは自己署名証明書の俗称で、自分で生成した Certificate Signing Request (CSR) を自分で運用している認証局で発行した証明書のことです。

 

SSLのまとめ (外部リンク)

 

 

なぜ https://www.cisco.com にアクセスしても証明書のエラー画面が表示さないのか

オレオレ証明書を使用している場合、証明書のエラー画面が表示されますが、well known もしくは trusted certificate authority が発行した証明書を使用している場合、証明書のエラー画面は表示されません。

Well known / trusted certificate authority とは証明書の CSR を審査し、ユーザがその証明書を使用したウェブサイトにアクセスしても問題ないことを保証している会社です。具体的に、CSR には組織の名前や所在地を含み、その情報が法務局が発行している登記事項証明書等の内容と一致しているか確認しています。

クライアントの OS にはこれらの信頼できる認証局がデフォルトでインストールされています。これらの認証局のことを well known / trusted certificate authority と言います。Well known certificate authority が発行した証明書を利用したサイトは、その証明書を発行した認証局がそのサイトの信頼性を確認しているので、ブラウザで証明書のエラー画面が表示されることはありません。各オペレーティングシステム (OS) で登録されている well known certificate authority は各 OS を作成している会社に確認してください。

 

Lists of available trusted root certificates in macOS (外部リンク)

Manage Trusted Root Certificates (外部リンク)

 

さて、https://www.cisco.com を確認すると、Symantec 社が発行した証明書を使用していることがわかります。私が使用した端末では well known certificate authority としてSymantec 社がデフォルトで登録されています。なので、エラー画面が表示されることはありません。

 

 

 

なぜ WLC はオレオレ証明書で出荷されるのか

Well known certificate authority で証明書を発行してもらうためには Certificate Signing Request が必要です。 Certificate Signing Request にはお客様の会社の情報 (企業名、所在地など) が必要です。このような情報は WLC 生産時には把握できないため、とりあえず誰もが HTTPS を使用できるように WLC はオレオレ証明書で出荷されています。

 

また、well known certificate authority で証明書を発行してもらうためには費用が発生します。全てのお客様で well known certificate authority で発行された証明書を使用することが要件になっているとは限りません。

 

 

本当に WLC で証明書のエラー画面を防げないのか

概要でも説明しましたが、 WLC でオレオレ証明書を使用し証明書のエラーを表示させないことは、WLC で改善できる問題ではありません。オレオレ証明書を使用しているページにアクセスしてもブラウザの警告画面が表示されなかった場合、多くのユーザが詐欺被害にあうことが予想されます。信頼性が担保できなくなり HTTPS の概念を覆すことになります。

バージョン履歴
改訂番号
2/2
最終更新:
‎09-01-2017 04:09 AM
更新者:
 
寄稿者: