FirefoxだけがWindows 10上で、どのサイトでも「安全な接続ではありません」と「MOZILLA_PKIX_ERROR_MITM_DETECTED」のエラーでつながらない。
プロキシが発行する証明書の認証局の設定がなかったために起こっていたようで、InternetExplorer / Edgeのもつ設定をFirefoxに持ってくることによって解決。
現象
64bitのFirefox(63.0.1)をWindows 10 Enterprise (build:1809)にインストール。
テストでGoogleにアクセスしたら、「安全な接続ではありません」と「MOZILLA_PKIX_ERROR_MITM_DETECTED」のエラーになってつながらない。
あれ?っと思って他のサイトにアクセスしに行っても全部同じエラーでつながらず。
この環境はプロキシ経由でアクセスしているので、そこが怪しいが「システムのプロキシ設定を利用する」になっていて問題なし。
もちろん、InternetExplorerやChromeはちゃんとGoogleにはつながる。
なんとなく証明書のような気がするけど、IEやChromeは大丈夫…
解決方法
まさしく同じことに悩んでいる人を発見。
Can’t open google and many other sites anymore. Error MOZILLA_PKIX_ERROR_MITM_DETECTED
you could enter about:config into the firefox address bar (confirm the info message in case it shows up) & search for the preference named security.enterprise_roots.enabled. double-click it and change its value to true and restart firefox once – this will import all custom certificates from the windows trust store into firefox and zscaler might become trusted this way. if this doesn’t help either you’d have to get in contact with your it department to inquire how to properly set up the system to work with their network monitoring.
https://support.mozilla.org/ja/questions/1232044
Firefoxの設定を変更して、Windowsのトラストストアから必要な証明書を持ってくるようにすればよいとのこと。
IEやChromeはトラストストアを見ているので大丈夫だが、Firefoxはそこを見ず、独自の設定を持っているということか。
解決手順
Firefoxの設定画面を開く
ブラウザのアドレスバーにabout:configを入力してリターン。
「危険の承知の上で使用する」を押下。
「security.enterprise_roots.enabled」を「true」にする
もともとfalseのところをダブルクリックしてtrueに。
Firefoxを再起動
Googleにつないでみる。
OK!!
原因
この環境ではプロキシ経由でインターネットに出ていく。
どうもこのプロキシはhttpsプロトコルを処理するときに、いったん復号化してパケットの中身をスキャンしているっぽい。
目的はセキュリティを高めるため、情報漏洩を防ぐためなんだろうけど、SSL通信をするためにはサーバ証明書が必要。
本来の宛先(今回はGoogle)の証明書は持ってこれないので、疑似的にプロキシが自分の証明書を生成する必要がある。このときの認証局が、Firefoxの知らない認証局になっていてエラーになってた。
だから、なぜか知っているWindowsさんから教えてもらったという感じ。
プロキシから返ってきた証明書を見ると、サブジェクトはGoogleだけど発行者がZscaler Inc. になっている。
ここのSSL Inspectionが使われているのかもしれない。
まとめ
MOZILLA_PKIX_ERROR_MITM_DETECTEDが返ってきた場合、証明書がおかしい可能性が高いので、それを疑う。
今回のように、他のブラウザでは問題ないのにFirefoxだけダメ。どこのサイトもダメ。という場合は、証明書がそもそもない可能性が高いのでWindowsのトラストストアから持ってくる。
プロキシ周りはホント面倒。
コメント