HOME  /ZeroTrust
 /Cloudflare ZeroTrustのGatewayでエラーコード526でブロックされる
2024年11月11日

Cloudflare ZeroTrustのGatewayでエラーコード526でブロックされる


下図はインタネットアクセスを行った結果、エラーコード526でブロックされた画面です。

①エラーコード526は証明書エラーで下記の原因が考えられます。

・アクセスしたサイトのSSL証明書が間違っていたり、有効期限が切れた時

・[HTTP]サイトを[HTTPS]でアクセスした結果、証明書がないという意味でのエラー

②[HTTP]サイトのエラーの場合は、URLを[https://]から[http://]に変更するとアクセスできます。

上記の様に[HTTP]サイトを[HTTPS]でアクセスする事を[HTTPS]優先と呼びます。

 参考情報

[HTTP]サイトを[HTTPS]でアクセスした時は、526の署名書エラーになります。

しかし[HTTPS]サイトを[HTTP]でアクセスした時は、502のWebサーバと接続できないというエラーになります。

 

ここでは下記を解説します。

1.HTTPS優先の登場の背景とWARPアクセス

2.HTTPS優先を解除させる方法

3.HTTPS優先の解除リストの登録場所

1.HTTPS優先の登場の背景とWARPアクセス

SSL証明書が無償で利用できる時代に、通信を暗号化しないHTTPサイトが存在すること自体が問題とされてきています。

そこでChrome等のブラウザでは、総てのサイトをHTTPSで見に行く(HTTPS優先)という機能が提供され、これによりHTTPサイトは見ない運用が推奨される時代になってきました。

 

[WARP]クライアントと[Gateway]間のVPNの張り方を[Split Tunnels]と呼び、下記の種類があります。

・[Exclude]の場合は、総てのHTTP通信が[HTTPポリシ]経由になります。

・[Include]の場合は、指定したドメインだけが[HTTPSポリシ]経由になります。

この[HTTPポリシ]経由のインターネットアクセスは、CloudflareがChromeやEdgeに対しHTTP優先を自動でONにします。Firefoxは現時点で自動でONになりません。

よってこの環境下でChromeやEdgeでHTTPサイトをアクセスすると上記の様な526エラーが表示されアクセスできない仕様となります。

 

2.HTTPS優先を解除させる方法

HTTPサイトは危険なのでアクセスしない方が良いという考え方は判りますが、IT後進国の日本の地方自治体では、まだまだHTTPサイトが存在しており、CloudflareのZero Trustを利用するとこれらが見れないのは困ります。

またURLを[https://]から[http://]に変更すると見れますが、これも面倒です。

 

そこで下記にHTTPS優先が起こらない方法を解説します。

1.[Split Tunnels]を[Include]で運用し、余分なドメインは追加しない。

これが一番簡単な方法ですが、これを行うと[TLS decryption]機能や[AV scanning]機能が利用できません。

詳しくは [TSL decryption]と[AV scanning]とは を参照して下さい。

 

2.[Split Tunnels]が[Exclude]又は[Include]で主要なドメインを追加した場合

この場合は色々な考え方があります。

①主要なドメインを許可し[HTTPS]優先を無効化する。

CromeとEdgeの[解除リストの登録場所]に下記を追加します。

[*.]jp

[*.]com

[*.]net

[*.]org

 

②日本の都道府県のHPのドメインだけ許可し、それ以外は[HTTPS]優先を利用する。

CromeとEdgeの[解除リストの登録場所]に下記を追加します。

[*.]lg.jp

上記で大半がOKですが、県や市町村名でドメインを取得している所もあるので下記を追加します。

[*.]akita.jp

[*.]aomori.jp

[*.]chiba.jp

[*.]fukushima.jp

[*.]gifu.jp

[*.]hokkaido.jp

[*.]ibaraki.jp

[*.]kagawa.jp

[*.]kawauchimura.jp

[*.]kochi.jp

[*.]kyoto.jp

[*.]mikurasima.jp

[*.]nagano.jp

[*.]nara.jp

[*.]niigata.jp

[*.]okayama.jp

[*.]okinawa.jp

[*.]osaka.jp

[*.]samani.jp

[*.]shimane.jp

[*.]tokushima.jp

[*.]toyama.jp

[*.]uenomura.jp

[*.]yamagata.jp

[*.]yamaguchi-kouiki.jp

[*.]yamanashi.jp

[*.]ys-sinkoukyoukai.jp

又、下記は特殊なドメインを使っている市町村です。

[*.]nanmoku.ne.jp

[*.]kuromatsunai.com

上記を追加する事により日本の都道府県の自治体でHTTPを使っているHPも総て見れる様になります。

 

3.HTTPS優先の解除リストの登録場所

[HTTPS]優先を設定する場所は下記になります。

1.Windows版 Cromeの場合

①[右上の三点メニュー] → [設定]を開く

②[プライバシーとセキュリティ]を開く

③画面の一番下にある[サイトの設定]を開く

④[その他のコンテンツ設定] を開き [安全でないコンテンツ]をクリックする

⑤[安全でないコンテンツの表示を許可するサイト]の[追加]で許可するドメインを追加します。

 

2.Windows版Edgeの場合

①[右上の三点メニュー] → [設定]を開く

②左ペインのメニュから[Cookeiとサイトのアクセス許可]を選択します。

③画面の中にある[セキュリティで保護されていないコンテンツ]をクリックします。

④[許可]の所の[追加]ボタンを挿入し許可するドメインを追加します。

 

3.Windows版Firefoxの場合

Firefoxの場合は特定ドメインだけHTTPS優先機能を利用しないという設定はできません。

①[右上のアイコン] → [設定]を開く

②左ペインのメニュから[プライバシーとセキュリティ]を開く

③画面の中にある[HTTPS-Only モード]を設定する。

・[HTTPS-Only モードを有効にしない]にをつける。

以上で総てのHTTPサイトが見れる様になります。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

VirusTotal(バイアス・トータル)やVT4Browsersは便利なツールですが、これを利用する事による情報流出が問題となっています。ここではCloudflareのZero Trustを利用する事により、これらのツールを安全に利用する方法を解説しています。

WARPをインストールしセキュリティ空間と接続すると[TLS decryption]や[AV scanning]機能が利用できますが、これを利用する為には利用宣言とCloudflareの証明書が必要になります。ここではその設定法を解説しています。

ClopudflareのWARPが利用する証明書には有効期限があります。このドキュメントでは新しい証明書を作成し適用する方法を解説しています。

Cloudflare ZeroTrustのGatewayで[Split Tunnels]を[Include]で運用していてもHTTPポリシーを利用したブロックを行う事もできます。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。