EdgeでCloudFrontを経由したWebサイトにアクセスしようとすると、ERR_TLS_HANDSHAKE_FAILEDというエラーが表示されることがあります。このエラーは、TLSハンドシェイクの過程で何らかの不整合が生じたことを示します。この記事では、主にEdgeの設定やネットワーク環境が原因で発生するこのエラーを解消する手順を詳しく解説します。適切な対処により、安全にサイトへアクセスできるようになります。
【要点】CloudFront経由でのERR_TLS_HANDSHAKE_FAILEDエラーの対処法
- TLSバージョンの確認: EdgeのTLS 1.3を無効にすることで、CloudFrontとの互換性を改善します。
- QUICプロトコルの無効化: Edgeの試験的なQUIC機能をオフにして、ハンドシェイクの問題を回避します。
- SSL状態のクリア: 過去の証明書キャッシュを削除して、新たなTLSセッションを確立します。
- CloudFront側の設定確認: CloudFrontのオリジン・カスタムヘッダーやSSL/TLS設定を見直します。
ADVERTISEMENT
目次
CloudFront経由でERR_TLS_HANDSHAKE_FAILEDが発生する主な原因
CloudFrontはCDNサービスであり、オリジンサーバーとクライアントの間でTLSハンドシェイクを行います。EdgeがCloudFrontとのハンドシェイクに失敗する原因は、いくつかのパターンに分類できます。
TLSバージョンの不一致
EdgeはデフォルトでTLS 1.3をサポートしていますが、CloudFrontのディストリビューションで設定されているSSL/TLSポリシーがTLS 1.2までしかサポートしていない場合があります。この場合、EdgeがTLS 1.3で接続を試みると、CloudFront側が対応できずハンドシェイクが失敗します。
QUICプロトコルによる干渉
Edgeの試験機能として実装されているQUICプロトコルが、CloudFrontのネットワーク経路上で阻害されることがあります。特に一部のファイアウォールやプロキシがQUICトラフィックをブロックすると、TLSハンドシェイクが正常に行われなくなります。
証明書検証の失敗
CloudFrontカスタムSSL証明書の設定に問題がある場合や、クライアント側のルート証明書が古い場合にもエラーが発生します。また、EdgeのSSL状態キャッシュに古い証明書情報が残っていると、検証に失敗することもあります。
EdgeでERR_TLS_HANDSHAKE_FAILEDを解消する具体的な操作
以下の手順を順番に試してください。各手順でエラーが解消したかどうかを確認しながら進めると効果的です。
手順1:TLS 1.3の無効化
- Edgeのアドレスバーにedge://flagsと入力します
フラグ設定画面が開きます。上部の検索ボックスに「TLS 1.3」と入力してください。 - 「TLS 1.3」のフラグを「Disabled」に変更します
「TLS 1.3 Support」という項目が表示されます。プルダウンメニューから「Disabled」を選択し、Edgeを再起動してください。 - 再度CloudFront経由のサイトにアクセスします
エラーが解消された場合は、TLS 1.3が原因です。業務上どうしてもTLS 1.3が必要な場合は、CloudFront側のSSL/TLSポリシーをTLS 1.3対応に変更することをご検討ください。
手順2:QUICの無効化
- edge://flagsにアクセスし、検索ボックスに「QUIC」と入力します
「Experimental QUIC protocol」というフラグが表示されます。 - 「Experimental QUIC protocol」を「Disabled」に設定します
プルダウンメニューから「Disabled」を選び、Edgeを再起動してください。 - 対象サイトが正常に表示されるか確認します
QUICを無効にしても速度に大きな影響は出ないため、問題が解決した場合はこのまま運用しても問題ありません。
手順3:SSL状態のクリア
- Windowsの「インターネットオプション」を開きます
Windowsの検索で「インターネットオプション」と入力して起動するか、コントロールパネルから開いてください。 - 「コンテンツ」タブを選び、「SSL状態のクリア」ボタンをクリックします
証明書キャッシュが削除されます。この操作は一時的なSSLセッション情報を消去するだけなので、安全性に影響はありません。 - Edgeを再起動してサイトにアクセスします
古い証明書情報が原因だった場合、これでエラーが解消します。
手順4:CloudFrontのSSL/TLSポリシーの変更
- AWS Management Consoleにログインし、CloudFrontのサービス画面を開きます
該当のディストリビューションを選択し、「編集」ボタンをクリックしてください。 - 「カスタムSSL/TLS証明書」の設定を確認します
「SSL/TLSポリシー」の項目で、使用可能なポリシーがTLSv1.2_2021以上になっていることを確認します。TLS 1.3をサポートする必要がある場合は「TLSv1.2_2021」以上のポリシーを選択します。 - 変更を保存し、ディストリビューションがデプロイされるのを待ちます
デプロイには数分から十数分かかることがあります。完了後、再度Edgeからアクセスしてエラーが消えたか確認してください。
対処後にエラーが残る場合の追加確認事項
上記の手順を行ってもエラーが解消しない場合、以下の点を確認する必要があります。
プロキシやVPNの影響を確認する
会社のネットワークでプロキシやVPNを使用している場合、それらがTLSハンドシェイクを妨害している可能性があります。一時的にプロキシをバイパスするか、VPNを切断してアクセスを試してください。問題が解消した場合は、ネットワーク管理者に相談して設定を見直す必要があります。
Edgeの拡張機能が干渉していないか確認する
一部のセキュリティ拡張機能や広告ブロッカーがTLS接続に影響を与えることがあります。Edgeの設定メニューから「拡張機能」を開き、すべての拡張機能を無効にしてから再度アクセスしてみてください。拡張機能が原因の場合、一つずつ有効にして問題の拡張機能を特定します。
システム日時が正しいか確認する
証明書の有効期限チェックには正確なシステム時刻が必要です。タスクバーの時計を右クリックして「日時の調整」を選び、自動設定が有効になっているか確認してください。日時がずれている場合は修正し、Edgeを再起動してアクセスします。
ADVERTISEMENT
EdgeとChromeのTLSハンドシェイク動作の比較
| 項目 | Edge | Chrome |
|---|---|---|
| TLS 1.3のデフォルト設定 | 有効 | 有効 |
| QUICプロトコル | 試験機能として搭載、既定で有効 | 標準機能として搭載、有効 |
| SSL状態クリアの手軽さ | インターネットオプションから操作 | 設定画面からクリア可能 |
| CloudFrontとの互換性 | TLS 1.3無効化で解決しやすい | デフォルトでも問題が少ない |
まとめ
この記事では、CloudFront経由サイトで発生するERR_TLS_HANDSHAKE_FAILEDエラーに対して、EdgeのTLS 1.3無効化、QUIC無効化、SSL状態クリア、CloudFront設定確認の手順を説明しました。まずはTLS 1.3とQUICの無効化を試すことで、多くのケースが解決します。それでも改善しない場合は、CloudFront側のSSL/TLSポリシーを見直すことをご検討ください。これで安全かつスムーズなアクセスが実現できるでしょう。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】標準アプリのショートカットアイコンが白い紙になった時の情報の更新
- 【Windows】「ゲーミングサービス」がインストールできない!Xboxアプリとの無限ループを脱出する修復コマンド
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】音が出ない!スピーカーに×が付く・ミュート解除しても無音になる時の直し方5選
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法