Umbrella SWGでの"515アップストリーム証明書の信頼できない"；エラーの解決

はじめに

このドキュメントでは、Secure Web Gateway(SWG)の「515 Upstream Certificate Untrusted」エラーの原因と解決方法について説明します。

エラーの説明

UmbrellaセキュアWebゲートウェイを介してHTTPS Webサイトにアクセスすると、次のエラーが表示される場合があります。

"515 Upstream Certificate Untrusted"

360069883331

このエラーは、Webサイト証明書の検証が不可能であることを示します。

原因

Umbrellaは、Webサイトから提示されたデジタル証明書を検証して、サーバの信頼性を確認し、信頼できる機関が証明書を発行したことを確認します。

証明書の問題は、いくつかのシナリオで発生する可能性があります。このエラーが表示されると、通常は同じWebサイトにアクセスできなくなるか、Umbrella SWGを使用しない通常のWebブラウザで警告またはエラーページが表示されます。セキュリティのため、Secure Web Gatewayではエンドユーザが証明書エラーをバイパスすることを許可しません。

エラーの一般的な原因

• 信頼されたルート機関によって発行されていない証明書
  Umbrellaは、Webサイトを識別できるルート認証局のリストを保持しています。証明書は、次のいずれかの機関によって署名されている必要があります。Umbrellaは、主要なWebブラウザで使用される一般的なソースからこのリストを取得します。SWGが正当な認証局を信頼していないと判断した場合は、Umbrellaサポートに連絡してください。
  
  

• 証明書ホスト名がターゲットURLと一致しません
  証明書に指定するホスト名は、ユーザがアクセスしているURL（たとえば、アドレスバーに入力したURL）と一致する必要があります。 ホスト名が一致しない場合、証明書は無効です。
  
  

• 証明書の期限切れ
  Webサイトの証明書が有効期限を過ぎています。
  
  

• 証明書の失効
  Webサイトの証明書がルート認証局によって無効にされました。不正使用の可能性があります。
  
  

• Webサイトに掲載されていない中間CAチェーン
  Webサイトでは、ルート認証局までの検証を可能にするために、中間の認証局を含む完全な証明書チェーンを提供する必要があります。このチェーンが欠落している場合、Umbrellaは証明書を検証できません。一部の証明書では、Authority Information Access（AIA；機関情報アクセス）拡張(RFC4325)を使用して、クライアントが中間証明書を自動的に見つけることができるようにします。Umbrellaはこの機能をサポートしますが、すべての設定でサポートされるわけではありません。この機能を使用するには、包括ファイルインスペクションを有効にする必要があります。
  
  

• ホスト名に無効な文字があります
  ホスト名に無効な文字が含まれている場合、SWGは証明書を検証できません。インターネットホスト名の有効な文字は、RFC952およびRFC1123で定義されているアルファベット文字(A ～ Z)、数字(0 ～ 9)、マイナス記号(-)、およびピリオド(.)です。一部のブラウザでは他の文字も使用できますが、SWGではサポートされていません。

解決方法

Umbrella Secure Web Gatewayは、証明書エラー処理構成をサポートします。この機能を実装する詳細と手順については、『証明書エラー処理を有効にする』を参照してください。