下図はインタネットアクセスを行った結果、エラーコード526でブロックされた画面です。
①エラーコード526は証明書エラーで下記の原因が考えられます。
・アクセスしたサイトのSSL証明書が間違っていたり、有効期限が切れた時
・[HTTP]サイトを[HTTPS]でアクセスした結果、証明書がないという意味でのエラー
②[HTTP]サイトのエラーの場合は、URLを[https://]から[http://]に変更するとアクセスできます。
上記の様に[HTTP]サイトを[HTTPS]でアクセスする事を[HTTPS]優先と呼びます。
参考情報
[HTTP]サイトを[HTTPS]でアクセスした時は、526の署名書エラーになります。
しかし[HTTPS]サイトを[HTTP]でアクセスした時は、502のWebサーバと接続できないというエラーになります。
ここでは下記を解説します。
1.HTTPS優先の登場の背景とWARPアクセス
SSL証明書が無償で利用できる時代に、通信を暗号化しないHTTPサイトが存在すること自体が問題とされてきています。
そこでChrome等のブラウザでは、総てのサイトをHTTPSで見に行く(HTTPS優先)という機能が提供され、これによりHTTPサイトは見ない運用が推奨される時代になってきました。
[WARP]クライアントと[Gateway]間のVPNの張り方を[Split Tunnels]と呼び、下記の種類があります。
・[Exclude]の場合は、総てのHTTP通信が[HTTPポリシ]経由になります。
・[Include]の場合は、指定したドメインだけが[HTTPSポリシ]経由になります。
この[HTTPポリシ]経由のインターネットアクセスは、CloudflareがChromeやEdgeに対しHTTP優先を自動でONにします。Firefoxは現時点で自動でONになりません。
よってこの環境下でChromeやEdgeでHTTPサイトをアクセスすると上記の様な526エラーが表示されアクセスできない仕様となります。
2.HTTPS優先を解除させる方法
HTTPサイトは危険なのでアクセスしない方が良いという考え方は判りますが、IT後進国の日本の地方自治体では、まだまだHTTPサイトが存在しており、CloudflareのZero Trustを利用するとこれらが見れないのは困ります。
またURLを[https://]から[http://]に変更すると見れますが、これも面倒です。
そこで下記にHTTPS優先が起こらない方法を解説します。
1.[Split Tunnels]を[Include]で運用し、余分なドメインは追加しない。
これが一番簡単な方法ですが、これを行うと[TLS decryption]機能や[AV scanning]機能が利用できません。
詳しくは [TSL decryption]と[AV scanning]とは を参照して下さい。
2.[Split Tunnels]が[Exclude]又は[Include]で主要なドメインを追加した場合
この場合は色々な考え方があります。
①主要なドメインを許可し[HTTPS]優先を無効化する。
CromeとEdgeの[解除リストの登録場所]に下記を追加します。
[*.]jp
[*.]com
[*.]net
[*.]org
②日本の都道府県のHPのドメインだけ許可し、それ以外は[HTTPS]優先を利用する。
CromeとEdgeの[解除リストの登録場所]に下記を追加します。
[*.]lg.jp
上記で大半がOKですが、県や市町村名でドメインを取得している所もあるので下記を追加します。
[*.]akita.jp
[*.]aomori.jp
[*.]chiba.jp
[*.]fukushima.jp
[*.]gifu.jp
[*.]hokkaido.jp
[*.]ibaraki.jp
[*.]kagawa.jp
[*.]kawauchimura.jp
[*.]kochi.jp
[*.]kyoto.jp
[*.]mikurasima.jp
[*.]nagano.jp
[*.]nara.jp
[*.]niigata.jp
[*.]okayama.jp
[*.]okinawa.jp
[*.]osaka.jp
[*.]samani.jp
[*.]shimane.jp
[*.]tokushima.jp
[*.]toyama.jp
[*.]uenomura.jp
[*.]yamagata.jp
[*.]yamaguchi-kouiki.jp
[*.]yamanashi.jp
[*.]ys-sinkoukyoukai.jp
又、下記は特殊なドメインを使っている市町村です。
[*.]nanmoku.ne.jp
[*.]kuromatsunai.com
上記を追加する事により日本の都道府県の自治体でHTTPを使っているHPも総て見れる様になります。
3.HTTPS優先の解除リストの登録場所
[HTTPS]優先を設定する場所は下記になります。
1.Windows版 Cromeの場合
①[右上の三点メニュー] → [設定]を開く
②[プライバシーとセキュリティ]を開く
③画面の一番下にある[サイトの設定]を開く
④[その他のコンテンツ設定] を開き [安全でないコンテンツ]をクリックする
⑤[安全でないコンテンツの表示を許可するサイト]の[追加]で許可するドメインを追加します。
2.Windows版Edgeの場合
①[右上の三点メニュー] → [設定]を開く
②左ペインのメニュから[Cookeiとサイトのアクセス許可]を選択します。
③画面の中にある[セキュリティで保護されていないコンテンツ]をクリックします。
④[許可]の所の[追加]ボタンを挿入し許可するドメインを追加します。
3.Windows版Firefoxの場合
Firefoxの場合は特定ドメインだけHTTPS優先機能を利用しないという設定はできません。
①[右上のアイコン] → [設定]を開く
②左ペインのメニュから[プライバシーとセキュリティ]を開く
③画面の中にある[HTTPS-Only モード]を設定する。
・[HTTPS-Only モードを有効にしない]に✓をつける。
以上で総てのHTTPサイトが見れる様になります。