この記事は公開から1年以上経過しています。
Squid Proxy ServerでSSLプロキシのMITMモードにSplice Allを設定しているネットワーク環境でLinux(Lubuntu)のFirefoxからSSLサイトへアクセスすると
SSL_ERROR_RX_RECORD_TOO_LONG
のようなエラーが発生してSSLサイトが表示できない現象が発生したため、その時の対応についての備忘録。
対応
FirefoxのOCSP Stapling機能を無効にする。
手順
-
FirefoxのURLに
about:config
と入力。 -
以下の画面で
危険性を承知の上で...
を選択する。 -
設定名の検索欄で
security.ssl.enable_ocsp_stapling
を検索。 -
上記設定が
true
になっていたら設定をダブルクリックしてfalse
に変更する。 -
Firefoxを再起動する。
Firefox再起動後に再度同じエラーが出る場合は、再読込を繰り返すと表示できるようになるかもしれません。
また、上記対応手順に記載されていませんが、当該Linux環境はSquidのSSL CA(自己署名)をFirefoxの信頼済の認証局として登録してあります。
参考までに当該設定をオフにしたときのリスクについてChatGPT(GPT4)に確認した結果は以下のとおりです。
パフォーマンスの低下: OCSP Staplingが無効になると、クライアント(ブラウザ)が証明書の有効性を確認するためにCA(証明書発行機関)に直接問い合わせる必要があります。これは追加のネットワークラウンドトリップを引き起こし、サイトのロード時間が増加する可能性があります。
プライバシーの低下: CAへの直接の問い合わせは、ユーザーがどのウェブサイトを訪れているかをCAが知る可能性があります。OCSP Staplingを使用すると、このような問題は緩和されます。
可用性の問題: いくつかのケースでは、OCSPサーバー(CAが運営)が一時的にアクセス不能になる可能性があります。このような状況では、証明書のステータスを確認できないため、ウェブサイトへのアクセスが遅延するか、場合によってはブロックされる可能性があります。
デフォルト設定では通常このオプションは有効(true)になっており、上記のようなリスクを緩和するためです。ただし、特定の環境やテストケースでこの設定を無効にする理由がある場合もありますが、一般的には有効にしておくことが推奨されます。
参考ウェブサイトなど
- ClickSSL
How to Fix Secure Connection Failed Error in Firefox? (2 Ways)
以上です。