ESET入れたらhttps証明書の発行者が見られない

セキュリティソフトをノートンからESETに変えました。
そしたらhttps証明書の発行者が置き換えられちゃって。。。

セキュリティソフトをESETに買い替えた

この3年間、セキュリティソフトはノートン365を使用していました。
しかし、ノートンが自サイトの有料サービスへ誘導する通知を頻繁に出してくるので買い替えることにしました。

たまたまこのタイミングでamazonのブラックフライデーが開催されます。
探してみるとESETの5台3年ライセンスが6,750円と安かったので購入しました。

やはり営業の通知が無いのはいいですね。
それにPCの動作が少し軽くなった気がします。
特にメールの受信とかが。

しかし、1点困ったことが有りました。

ブラウザでhttpsの証明書を確認すると、発行元の一般名欄が「ESET SSL Filter CA」と表示され、本来の発行元がわからないのです。

正確には確認できるところとできないところがあります。
同じDigiCert（デジサート）の証明書を使っていても、ソニー（https://www.sony.jp/）のは確認できますが、日産（https://www.nissan.co.jp/）は確認できないのですよ。
他にもmicrosoftやfacebook、Google、ヤフージャパンなどは確認できますが、トヨタや外務省、IHI、GM、feedlyなどは「ESET SSL Filter CA」になってしまいます。

もちろん「Let’s Encrypt」が使用されているページは全て置き換えられてます。

基準、違いがわかりませんね。
IT系企業は表示されることが多いかな？

httpsの証明書確認

上で書いてた証明書の確認方法です。
ブラウザ（今回はGoogle Chromeを使用）でhttpsの証明書を確認してみましょう。

URL左横の鍵のマークをクリックします。

開いたメニューから「この接続は保護されています」をクリックします。

次の表示から「証明書は有効です」をクリックします。

証明書が表示されます。

上画像の赤枠部分に発行元の一般名欄に「ESET SSL Filter CA」と入っています。
当ブログの場合、本来は一般名欄：「R3」、組織欄：「Let’s Encrypt」と表示されるのです。

企業などのサイトだと「GlobalSign RSA OV SSL CA 2018」とか「GTS CA 1C3」、「DigiCert Global CA G2」などと表示されたりします。

これは仕事の都合上、たまに確認することがあるんですよね。

ESETの設定変更

ESETの設定を変更することにしました。

設定の変更方法は4パターン試しました。

1. SSL/TSLを無効にする
   検索するとこの方法が多く紹介されてる
2. 使うブラウザだけ例外として登録する
   普段使用するブラウザだけ例外として登録する
3. よく見るサイトだけ例外として登録する
   確認するサイトだけ（複数されば複数全部）、例外として登録する。
4. SSL/TSLモードを「対話モード」にする
   結局 2 と同じことになるので 2 でいいかな

設定変更を解説してるサイトをいくつか見ましたが１.SSL/TSLを無効にするのが多いようですね。

しかし、折角の機能を無効にしてしまうのも勿体ないので、２のよく使うブラウザだけを例外として登録する方法で試してみました。

以下はその手順です。

タスクトレイからESETを開きます。
左のメニューから「設定」を選択します。

設定画面が開いたら、左下の「詳細設定」をクリックします。

詳細設定の左にあるメニューから「保護」を選択します。

更に開いたメニューから「SSL/TLS」を選択します。

ここで先頭の「SSL/TSLを有効にする」をOFFにすれば、「1.SSL/TSLを無効にする」の設定変更になりますが、今回は「2.使うブラウザだけ例外として登録する」を設定するので、そのまま有効にしておきます。

「アプリケーションの検査ルール」にある「編集」をクリックします。

開いたウインドウの左下にある「追加」をクリックします。

更に開いたウインドウの「アプリケーション」欄の右端にある「…」をクリックします。

ファイル選択画面が開くので「chrome.exe」を選択します。

「chrome.exe」は一般的？には次の場所にあります。

C:\Program Files\Google\Chrome\Application

Edgeの場合はここ？にある「msedge.exe」かな？

C:\Program Files (x86)\Microsoft\Edge\Application

FIrefoxの場合はここ？にある「firefox.exe」かな？

C:\Program Files\Mozilla Firefox

たぶん。
環境によって違うかもしれないので確認が必要です。

次に検査アクションで「無視」を選択して「OK」をクリックします。

前の画面に戻るので「OK」をクリックします。

変更確認が表示されるので「はい」をクリックします。

これで自分のブログを確認すると発行元が変更されずに表示されました。

「3.よく見るサイトだけ例外として登録する」の場合は、「証明書ルール」の「編集」をクリックして、同じように登録したいサイトのURLを登録しておけばOKです。

SSL/TSLモードを「対話モード」にする

SSL/TSLモードを「対話モード」にするのも試して見ましたが、結局「2.使うブラウザだけ例外として登録する」と同じように「アプリケーション検査ルール」に登録されるだけなので面倒臭いだけかと思います。

サイト閲覧だけでなくアプリケーションの通信もチェックしているので、アプリケーションごとに検査か無視かを設定することになります。

通信がある毎に上の画面が表示されます。
それならブラウザだけを登録する「2.使うブラウザだけ例外として登録する」が簡単ですよね。