WindowsでChromeを使用する場合の包括ルート証明書エラーのトラブルシューティング

はじめに

このドキュメントでは、WindowsでChromeを使用しているときに*cisco.comのUmbrellaルート証明書エラーをトラブルシューティングして解決する方法について説明します。

概要

すべてのサイトに適用される、この問題に対するより管理しやすく永続的なソリューションを用意しました。ここに記載した情報は妥当なものですが、この記事で説明するように、シスコのルートCAをインストールして、永続的な修正を検討することをお勧めします。

https://docs.umbrella.com/deployment-umbrella/docs/rebrand-cisco-certificate-import-information

このページは、*.cisco.comの証明書エラーがChrome（Windows用）に表示されても、証明書の例外を追加してバイパスできない場合のガイドです。

このメッセージの原因は、HTTP Strict Transport Security(HSTS)の実装、または最新のブラウザで事前にロードされた証明書ピニングであり、これによって全体的なセキュリティが強化されます。HTTPSページに対するこの追加のセキュリティは、Webサイトに対してHSTSがアクティブな場合に、Umbrellaブロックページおよびバイパスブロックページメカニズムが動作しないようにします。HSTSの詳細については、この記事を参照してください。 

注:HSTSの変更により、特定のサイトではバイパス不能な証明書エラーが発生するため、ブロックページバイパス(BPB)システムが機能しません。これらのサイトでChromeのBPBを使用できるようにするには（Windowsの場合）、ブラウザを起動するときに特別なスイッチを使用する必要があります。Chromeで動作しない一般的なサイトには、Facebook、GmailやYouTubeなどのGoogleサイト、Dropbox、Twitterなどがあります。サイトの全リストについては、ここを参照してください。

Chrome証明書チェックを無効にしないと、次に示すように、この保護リストのいずれかのサイトでBlock Page Bypassを使用しようとすると失敗します。

Chrome証明書チェックの無効化（Windowsのみ）

これらのエラーを無視するようにChromeに強制するには、このスイッチでアプリケーションを起動するようにChromeのショートカットを設定する必要があります。

--ignore-certificate-errors

Googleでは、この機能をいつでも削除できます。したがって、この機能が利用可能な限り使用することをお勧めします。

このコマンドラインフラグをChromeに追加するには、Chromeアイコンのショートカットを右クリックし、[プロパティ]を選択してに追加し、[プロパティ]を選択して、次に示すようにターゲットに追加します。

このフラグを追加すると、事前にロードされたHSTSリスト内のサイトでBPBを通常どおり使用して、これらをバイパスできるようになります。 

この例では、twitter.comがHSTSのプリロードリストにありますが、証明書の警告を無視することで、設計どおりにブロックページバイパスを使用できます。