Linux上のFirefoxでSSL_ERROR_RX_RECORD_TOO_LONGが出るときの対応

この記事は公開から1年以上経過しています。

Squid Proxy ServerでSSLプロキシのMITMモードにSplice Allを設定しているネットワーク環境でLinux(Lubuntu)のFirefoxからSSLサイトへアクセスすると

SSL_ERROR_RX_RECORD_TOO_LONG

のようなエラーが発生してSSLサイトが表示できない現象が発生したため、その時の対応についての備忘録。


対応

FirefoxのOCSP Stapling機能を無効にする。


手順

  1. FirefoxのURLにabout:configと入力。

  2. 以下の画面で危険性を承知の上で...を選択する。

    file

  3. 設定名の検索欄でsecurity.ssl.enable_ocsp_staplingを検索。

    file

  4. 上記設定がtrueになっていたら設定をダブルクリックしてfalseに変更する。

  5. Firefoxを再起動する。

Firefox再起動後に再度同じエラーが出る場合は、再読込を繰り返すと表示できるようになるかもしれません。

また、上記対応手順に記載されていませんが、当該Linux環境はSquidのSSL CA(自己署名)をFirefoxの信頼済の認証局として登録してあります。

参考までに当該設定をオフにしたときのリスクについてChatGPT(GPT4)に確認した結果は以下のとおりです。

パフォーマンスの低下: OCSP Staplingが無効になると、クライアント(ブラウザ)が証明書の有効性を確認するためにCA(証明書発行機関)に直接問い合わせる必要があります。これは追加のネットワークラウンドトリップを引き起こし、サイトのロード時間が増加する可能性があります。

プライバシーの低下: CAへの直接の問い合わせは、ユーザーがどのウェブサイトを訪れているかをCAが知る可能性があります。OCSP Staplingを使用すると、このような問題は緩和されます。

可用性の問題: いくつかのケースでは、OCSPサーバー(CAが運営)が一時的にアクセス不能になる可能性があります。このような状況では、証明書のステータスを確認できないため、ウェブサイトへのアクセスが遅延するか、場合によってはブロックされる可能性があります。

デフォルト設定では通常このオプションは有効(true)になっており、上記のようなリスクを緩和するためです。ただし、特定の環境やテストケースでこの設定を無効にする理由がある場合もありますが、一般的には有効にしておくことが推奨されます。


参考ウェブサイトなど

  • ClickSSL
    How to Fix Secure Connection Failed Error in Firefox? (2 Ways)

以上です。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする