特定の社内サイトにアクセスした際、Microsoft Edgeで「この証明書はCT(Certificate Transparency)非対応です」というエラーが表示されることがあります。このエラーは、Edgeが証明書の公開監査ログを要求するセキュリティ機能によって発生します。社内サイトのように自己署名証明書や限定的なCA(認証局)を使っている場合、CT要件を満たせずにブロックされるのです。この記事では、Edgeに例外ホストとして該当サイトを登録し、エラーを回避する手順を解説します。ポリシー設定により、特定のホストだけCTチェックを無効にできます。
【要点】EdgeでCT非対応の社内サイトにアクセスするための例外ホスト登録
- グループポリシーで例外ホストを追加: 組織全体にポリシーを適用し、特定のホスト名のCTチェックを無効にします。
- レジストリエディターで直接設定: ドメイン未参加の端末でも、レジストリを編集して例外ホストを登録します。
- edge://flagsの設定でCT無効化は非推奨: ブラウザの実験用フラグは全サイトに影響し、安全性を損なうため推奨しません。
ADVERTISEMENT
目次
Edgeで「CT非対応」エラーが発生する原因
Certificate Transparency(CT)は、証明書の発行を公開監査ログに記録する仕組みです。Edgeはセキュリティ強化のため、サイトの証明書がCTログに記録されていることを確認します。しかし、社内サイトの証明書は多くの場合、公開CTログに記録されていません。自己署名証明書やプライベートCA(認証局)から発行された証明書は、CTログに登録されないため、Edgeがブロックするのです。
このエラーは、Edgeバージョン120以降で標準搭載されたCTポリシーにより発生します。企業内システムではCT要件を満たせないケースが多く、その場合は例外ホストとして許可する設定が必要です。
例外ホストを登録してCTチェックを回避する手順
例外ホストの登録には、グループポリシー(ドメイン環境)またはレジストリエディター(スタンドアロン環境)の2つの方法があります。それぞれの手順を解説します。
グループポリシーを使用する方法(ドメイン環境向け)
- グループポリシー管理エディターを開く
ドメインコントローラーで「グループポリシー管理」を開き、適用したいGPO(グループポリシーオブジェクト)を編集します。コンピューター構成⇒管理用テンプレート⇒Microsoft Edgeに移動します。 - 「CT非対応ホストを許可する」ポリシーを有効化
ポリシー名「証明書の透過性の要件を満たさないホストを許可する」を探し、「有効」に設定します。 - 例外ホストのリストを入力
「オプション」欄に表示されるテキストボックスに、許可したいサイトのホスト名(例:internal.company.com)を1行に1つずつ入力します。ワイルドカード(*.company.com)も使用できます。 - 変更を適用して確認
GPOをクライアントに反映させます(gpupdate /force)。Edgeを再起動し、該当サイトにアクセスしてエラーが解決したことを確認します。
レジストリエディターを使用する方法(スタンドアロン環境向け)
- レジストリエディターを管理者権限で開く
Windowsのスタートメニューで「regedit」と検索し、右クリックから「管理者として実行」を選択します。 - Edgeポリシーキーに移動する
次のパスに移動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ - 「CertificateTransparencyEnforcementDisabledForUrls」キーを作成
Edgeフォルダーがなければ右クリックで新規キーを作成します。その中に「CertificateTransparencyEnforcementDisabledForUrls」という名前の文字列値(REG_SZ)を作成します。 - 例外ホストのリストを入力
作成した文字列値をダブルクリックし、値のデータに許可するホスト名をカンマ区切りで入力します。例:internal.company.com,mail.oldcompany.net ワイルドカードも使用できます。 - Edgeを再起動して確認
レジストリを閉じ、Edgeを完全に終了してから再度起動します。対象サイトにアクセスし、エラーが表示されなくなったことを確認します。
注意点として、レジストリ編集は慎重に行ってください。誤った操作はシステムに影響を与える可能性があります。事前にレジストリのバックアップを推奨します。
例外ホスト登録で注意すべき点
設定が反映されない場合の確認ポイント
ポリシーが正しく適用されない場合、以下の点を確認します。まず、Edgeのバージョンが120以降であることを確認します。CTポリシーはそれ以前のバージョンでは利用できません。次に、グループポリシーの場合は、GPOが正しいOU(組織単位)にリンクされているか、セキュリティフィルタリングが適切か確認します。レジストリの場合は、パスが正確か、管理者権限で実行したかを見直します。
すべてのサイトに例外を設定するリスク
例外にワイルドカード(*)を使用すると、そのドメイン全体のCTチェックが無効になります。これにより、不正な証明書が使われた場合に検出できなくなるリスクがあります。必要なサイトのみを個別に指定することを推奨します。
既定のEdgeポリシーが優先されるケース
組織で適用されている他のポリシーが上書きする場合があります。特に「CertificateTransparencyEnforcementDisabledForCas」(特定のCAを無効化する)ポリシーと競合する可能性があります。ポリシーの優先順位を理解した上で設定してください。
ADVERTISEMENT
グループポリシーとレジストリ設定の比較
| 項目 | グループポリシー | レジストリエディター |
|---|---|---|
| 適用対象 | ドメイン参加端末 | すべての端末(ドメイン非参加含む) |
| 管理の容易さ | 一括設定可能、中央管理 | 1台ずつ手動設定が必要 |
| ワイルドカード対応 | 可能(1行に1つ) | 可能(カンマ区切り) |
| 反映方法 | gpupdate /force + Edge再起動 | Edge再起動のみ |
| バックアップ推奨度 | 低い(GPOのバックアップ) | 高い(レジストリのエクスポート必須) |
| エラーのリスク | 低い(GUI操作) | 中程度(手動入力ミス) |
まとめ
この記事では、Edgeで特定の社内サイトが「CT非対応」エラーとなる問題に対して、例外ホストを登録する手順を解説しました。グループポリシーまたはレジストリエディターを使用して、CertificateTransparencyEnforcementDisabledForUrlsポリシーを設定することで解決できます。設定後は必ずEdgeを再起動して効果を確認してください。また、セキュリティリスクを考慮し、例外は必要最小限のホストに絞りましょう。この方法を応用すると、社内ポータルや業務システムなど、複数の非公開サイトにも同様の対応が可能です。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】標準アプリのショートカットアイコンが白い紙になった時の情報の更新
- 【Windows】「ゲーミングサービス」がインストールできない!Xboxアプリとの無限ループを脱出する修復コマンド
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】音が出ない!スピーカーに×が付く・ミュート解除しても無音になる時の直し方5選
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法