メインコンテンツへスキップ
一部の企業ネットワークやエンタープライズネットワークでは、外部向けの HTTPS トラフィックに対して TLS インターセプション (「SSL インスペクション」) を実施しています (一般的には Zscaler などのセキュリティゲートウェイ経由) 。Windsurf Editor は、サインインやクラウド連携機能のために外部サービスへの TLS 接続を確立する必要があります。インスペクションされたトラフィックが、マシンやランタイムが信頼していない企業のインスペクション用 CA によって再署名されている場合 (または証明書チェーンが不完全な場合) 、Windsurf が SSL/証明書エラーやネゴシエーションエラーにより接続に失敗することがあります。 特に、次のような場合は SSL/TLS インスペクションが原因となっている可能性があり、調査が必要です。
  • 「Failed to connect」などのネットワークエラーが表示される
  • エディタまたは Cascade パネルが真っ白な画面のまま読み込まれない
  • Cascade などのクラウド連携機能が読み込めない、または接続できない
  • サインインやアクティベーションのフローが予期せず失敗する
  • 機能がホットスポット / 自宅ネットワークでは動作するが、社内ネットワークでは動作しない
  • ログや DevTools に証明書エラーや TLS ハンドシェイクエラーが表示される
プロキシ関連の問題も発生している場合は、プロキシの設定 を参照してください。

1. ネットワークで SSL インスペクションが使われているか確認する

エディタで何かを変更する前に、IT / セキュリティ / ネットワーク担当チームに確認してください:
  • 外向き HTTPS トラフィックに対して、TLS インターセプション / SSL インスペクションを行っていますか?
  • SSL インスペクションは、ブラウザだけでなく、開発用ワークステーションや開発ツールにも適用されていますか?
  • インスペクトしたトラフィックに署名する際に使用している Root CA / Intermediate CA のチェーンは何ですか?
  • その CA チェーンはエンドポイントに配布されており、開発に使用しているアプリケーション / ランタイムから信頼されていますか?
組織で SSL インスペクションを使用していない場合、通常このガイドに従う必要はありません。組織で SSL インスペクションを使用している場合は、以下を読み進めてください。

2. Windsurf で根本原因となっているエラーを取得する (Developer Tools → Console)

Windsurf Editor (VS Code ベース) には、実際の TLS/証明書エラーの内容を表示できる Developer Tools があります。
  1. Help → Dev Tools / Developer Tools を開く
  2. Console タブを選択する
  3. 赤色のエラー を探す
  4. 各エラーエントリを展開して、詳細 (ネストされたエラーフィールド/スタックトレース) を確認する
代表的なエラーパターンは次のとおりです。 証明書信頼の失敗 (信頼されていない CA) :
  • certificate signed by unknown authority
  • unable to verify the first certificate
  • self signed certificate in certificate chain
  • UNABLE_TO_VERIFY_LEAF_SIGNATURE
証明書チェーン構築の失敗 (中間証明書の欠如) :
  • unable to get local issuer certificate
  • unable to get issuer certificate
TLS ネゴシエーションの失敗:
  • handshake_failure
  • wrong version number
  • protocol negotiation failed
  • ERR_SSL_PROTOCOL_ERROR
展開したコンソールエラーのテキストを IT/セキュリティ担当に共有してもらえると、通常は解決までの時間を大幅に短縮できます。

3. SSL 検査環境でこれが発生する原因

SSL 検査が有効になっている場合、ゲートウェイは TLS 接続を終端して再確立します。クライアントには、社内の検査用 CA (ルート CA と、場合によっては中間 CA 証明書) が署名した合成サーバー証明書が提示されます。 Windsurf の接続失敗は、通常次のような場合に発生します:
  • エンドポイントで社内検査用の ルート CA が信頼されていない、および/または
  • 検査証明書の チェーンが不完全 (中間 CA が欠落している) 、および/または
  • IDE/ランタイムが、社内検査 CA チェーンを含まない OS とは別のトラストストア を使用している、および/または
  • 社内ポリシーが、TLS ネゴシエーションを妨げる制約 (最小 TLS バージョン/暗号スイート、復号できないトラフィックのブロックなど) を強制している
これは一般的に、企業側の証明書/信頼/ポリシー構成の問題であり、Windsurf 固有の実装問題ではありません。

4. IT / セキュリティチームと連携して問題を解決する

SSL インスペクションや証明書の配布は組織で管理されているため、対応には通常、IT / セキュリティチーム側での設定変更が必要になります。

A) Windsurf トラフィックに対する SSL インスペクションポリシーの検証

IT/セキュリティ担当に次を確認してもらってください:
  • Windsurf 関連のアウトバウンド HTTPS トラフィックに SSL インスペクションが適用されているかどうか
  • 証明書検証、ポリシー上の理由、または TLS ネゴシエーションの制約により、ブロック/拒否が発生していないかどうか

B) Enterprise のインスペクション用 CA チェーンが正しくデプロイされ、信頼されていることを確認する

IT/セキュリティ担当者に次を依頼します:
  • Enterprise の SSL インスペクション用 Root CA を開発者の端末にデプロイする
  • 必要なすべての 中間 CA 証明書 が存在し、チェーンが正しいことを確認する
  • IDE/ランタイムが使用しているものと同じ信頼ストア (OS のストアかランタイム固有のストアか) を使って、信頼を検証する

C) スコープを限定した SSL インスペクションのバイパスを構成する (フォールバック)

信頼の整合が取れない場合は、IT/セキュリティ担当者に次を依頼してください。
  • 組織の許可リスト/ネットワーク要件に関する社内手続きに従って、必要な Windsurf サービスエンドポイントに対する SSL インスペクションのバイパスを作成すること
  • バイパスのスコープを必要最小限に保ち、組織のセキュリティポリシーと整合させること

5. IT / セキュリティ部門に送る内容 (コピー&ペースト用)

問題: Windsurf Editor が社内ネットワーク上で接続に失敗する。SSL インスペクション / TLS インターセプションの証明書信頼または証明書チェーンに問題がある可能性が高い。 証跡: Help → Developer Tools → Console に TLS / 証明書 または ハンドシェイク エラーが表示されている (赤字で表示されるコンソールエラーを展開した内容が確認可能) 。 依頼事項:
  1. Windsurf 関連の送信 HTTPS トラフィックに対して SSL インスペクションが有効になっているか確認してください。
  2. エンタープライズの SSL インスペクション用 Root CA と中間証明書が、このエンドポイント (および IDE が使用する実行時固有のトラストストア内) に配布され、信頼されているか確認してください。
  3. 信頼設定の整合が難しい場合は、必要な Windsurf サービスエンドポイントに対してスコープを絞った SSL インスペクションのバイパスを設定してください。
あわせて含める情報:
  • 障害が発生した日時
  • OS バージョン
  • Zscaler Client Connector (または同等エージェント) がインストール / 有効化されているかどうか
  • Developer Tools → Console から取得した、展開済みのコンソールエラーのテキスト
  • ホットスポット / 自宅ネットワークでは動作し、社内ネットワークでのみ失敗するかどうか

6. どのオプションをいつ使うか

次のような場合は、証明書配布/信頼設定の修正を行ってください:
  • エラー内容に「unknown authority」「unable to verify」「issuer not found」や、中間証明書の欠落が示されている
  • SSL インスペクションを有効のままにしつつ、もっとも長期的に安定した対処を行いたい
次のような場合は、スコープを限定した SSL インスペクションのバイパスを使ってください:
  • IDE/ランタイムが、実質的に Enterprise CA チェーンを取り込めない
  • あなたの環境では trust store (信頼ストア) の整合性を十分に保証できない
  • IT/セキュリティ部門が、インスペクションが原因で失敗が発生していることを確認し、対象を絞った例外を承認している
どちらを適用すべきか判断がつかない場合は、IT/セキュリティ部門が信頼できる情報源です。SSL インスペクションが有効かどうか、どの CA チェーンが使われているか、エンドポイントがどのように管理されているか、バイパスルールが適切かどうかを確認してもらってください。