― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

返信する
ユーザー名:
件名:
オプション:
BBCode: ON
[img]: ON
[flash]: OFF
[url]: ON
スマイリー: ON
BBCode を無効にする
フォントサイズ:
フォントカラー
スマイリーを無効にする
URL を自動的にパースしない
ユーザエージェントを表示する
認証コード
KCaptcha by Nikita_Sp
   

トピックのレビュー - デジタル証明書の使い方
作成者 メッセージ
  記事の件名:   引用付きで返信する
atsuo さんが書きました:
Anonymous さんが書きました:
この時は自分の「秘密鍵」もメールで送信しなければならないと思いますが、
他人に自分の証明書を送る場合に、くれぐれも「秘密鍵」の部分も送らないように気をつけてください。


とは、p12などのファイルを送らないという事でしょうか?

デジタル書名を付けただけでは、秘密鍵は送られませんよね。

署名だけでは秘密鍵は送られないので大丈夫です。
証明書をエクスポートして添付ファイルで送るときに気をつけて欲しいですね。たぶん、標準では秘密鍵をエクスポートしないようになっていると思うんですけど… Thunderbirdからエクスポートしたことないのでわかりませんが。
ThunderbirdとかFirefoxしか使っていない人から添付で受け取ったことはないのですが、なぜか他のソフトを使っている人から たまに間違って送ってきたりします。

----
Thunderbirdでエクスポートを試そうと思ったら、Thunderbirdには「エクスポート」って無いですね。バックアップっていうのが有りますが、本当にバックアップということで秘密鍵も必ず一緒に書かれるようです。これは他人に送ってはダメですね。ちなみに拡張子は「p12」でした。

また、「エクスポート」が無いと言うことは、受信した署名から証明書ストアにインストールできないメールソフトを使っている人に渡すのは面倒ですね。(実際、そういうソフトも有るんですが)
# その場合は一旦、OS標準の証明書ストア経由ですね
投稿記事 Posted: 2007年5月15日(火) 01:31
  記事の件名:   引用付きで返信する
Anonymous さんが書きました:
この時は自分の「秘密鍵」もメールで送信しなければならないと思いますが、
他人に自分の証明書を送る場合に、くれぐれも「秘密鍵」の部分も送らないように気をつけてください。


とは、p12などのファイルを送らないという事でしょうか?

デジタル書名を付けただけでは、秘密鍵は送られませんよね。
投稿記事 Posted: 2007年5月14日(月) 14:08
  記事の件名:   引用付きで返信する
atsuo さんが書きました:
OS X標準のMailを使って、Thawteデジタル署名及び暗号化をしたメールをThunderbirdに送り(キーチェーンアクセスに取り込んでいるので、Mailでは最初からデジタル署名及び暗号化ができました)、それをThunderbirdで受信する。

書き忘れていました。

この時は自分の「秘密鍵」もメールで送信しなければならないと思いますが、
他人に自分の証明書を送る場合に、くれぐれも「秘密鍵」の部分も送らないように気をつけてください。


# たぶん 、ゲストになってますが kiyo4_kです
投稿記事 Posted: 2007年5月14日(月) 03:03
  記事の件名:  Re: デジタル証明書の使い方  引用付きで返信する
takeshi さんが書きました:
kiyo4_k さんが書きました:
Thunderbirdはメールソフトであり、証明書の設定はメールソフトとして必要なものを自動で設定すれば良いように思います。セキュリティデバイスのための設定は必要だと思いますが、証明書の設定ダイアログにサイトの証明書は余計ですし、「この証明書をサイトの識別に使用する」とか「この証明書をソフトウェア制作者の識別に使用する」などはメールソフトには無縁なものです。


サイトの識別はPOPS/IMAPSでのメールサーバの識別のために使用されていますし、ソフトウェア製作者の識別は拡張機能のインストール時に検証のために使用されています。決して無駄な機能ではありません。
ただ上記の指摘を考慮するなら、使用目的で分離してそれぞれのUIで操作させるようにするという解決策はあるかもしれません。

現状の仕様では無駄な機能というわけではないと思いますが、ブラウザとの組み合わせと証明書の受け取り方によっては無駄な操作を行わなければ機能しない仕組みにはなっていますね。これはOpenSSLしか利用しないメールソフト全般に言えることですが …
まぁ、ユーザーに異なる証明書ストアに何度も無用な設定をさせることが余計だと言いたいのです。認証時の確認のための表示機能は必要でしょうが、認証局証明書の設定を行う機能は単なるメールソフトであるThundebirdには必要なくて、Thundebirdの外側に置くべきだと思っています。
takeshiさんが仰るとおり、UIで分けるだけでもわかりやすくなると思います。

サイト認証とソフトウェア制作者の識別に関しては、Thunderbirdの証明書ストアにユーザーが自分で認証局証明書を組み込むという機会は少ない(有ってはいけないという考え方も有るかも)と思います。自分で組み込んで設定しなければならないという時点で、まっとうな証明書(と認証局証明書)ではないという気がします。(ユーザーとしては こういうレベルのものはオレオレ認証局の認証局証明書で許容できるわけがないので)

認証して欲しい側(サイト、ソフトウェア制作者)はThunderbirdに組み込まれている どれかの証明機関に金を出して証明書を用意するべきだと思っています。
そういう意味ではアマチュアが作成している機能拡張に証明書が組み込まれていないのは当然なのかも知れません。(機能拡張のインストールに証明書の認証が表示されるのを見たことがないです)
サイト証明に関しては認証局不明のものやオレオレ認証局の認証局証明書をユーザーにインストールを強要するサイトもあります。実際、SSLで自前で用意したオレオレ認証局証明書の利用を強要するふざけたプロバイダも有りますが …


念のためですが、FirefoxやThunderbirdがOS標準の証明書ストアを”技術的に利用出来ない”あるいは”金が絡むので利用したくない”という事情が有りそうなことを認識した上で書いています。そして、FirefoxユーザがThunderbirdユーザーでもある(逆も)とは限らないこと、を想定して冗長性の大きい機能を持たせた形でしか提供出来ないことも認識しています。(だから ただの愚痴)

#すみません、”証明書”という単語に区別が無くてわかりにくかったですね。愚痴のところに余計と書いてあるのは”認証局証明書”のための設定ですが、うまく読み分けてください。
----
読み分けられない人のために用語解説が必要かな。
投稿記事 Posted: 2007年5月13日(日) 20:13
  記事の件名:  Re: デジタル証明書の使い方  引用付きで返信する
kiyo4_k さんが書きました:
Thunderbirdはメールソフトであり、証明書の設定はメールソフトとして必要なものを自動で設定すれば良いように思います。セキュリティデバイスのための設定は必要だと思いますが、証明書の設定ダイアログにサイトの証明書は余計ですし、「この証明書をサイトの識別に使用する」とか「この証明書をソフトウェア制作者の識別に使用する」などはメールソフトには無縁なものです。


サイトの識別はPOPS/IMAPSでのメールサーバの識別のために使用されていますし、ソフトウェア製作者の識別は拡張機能のインストール時に検証のために使用されています。決して無駄な機能ではありません。
ただ上記の指摘を考慮するなら、使用目的で分離してそれぞれのUIで操作させるようにするという解決策はあるかもしれません。
投稿記事 Posted: 2007年5月13日(日) 08:34
  記事の件名:   引用付きで返信する
すみません。私が間違っていたようです。

Mailで、自分が持っているメールアドレスAからもう一つのアドレスBに送る実験をしていたのですが、「キーチェーンアクセス」に双方の証明書があったから暗号化できたようです。

証明書の無い他人のメールアドレスでは暗号化できませんでした。早とちりでしたね。

これを機会に、S/MIMEに付いてももう少し勉強してみます。
ありがとうございました。
投稿記事 Posted: 2007年5月12日(土) 13:07
  記事の件名:   引用付きで返信する
atsuo さんが書きました:
Thunderbirdは、なぜ相手の証明書がないと暗号化できないんでしょうか?

Mailの暗号化方式が何なのか知らないので答えることは出来ませんが、Thunderbirdは標準では一般的にS/MIMEと呼ばれる形式で公開鍵暗号方式を利用しています。
私のサイトやWeblogでは暗号方式の説明や初心者向けの説明は扱っていないので
まず以下のサイトの記事を読んでみて、わからない言葉を さらに検索してわかりやすく説明してあるサイトの説明を読んでみたら良いと思います。
http://www.atmarkit.co.jp/fsecurity/special/04smime/smime02.html

簡単に言えば、圧縮を解くための鍵を相手の証明書(公開鍵部分)を指定してメール全体を圧縮して固めてから送信し、受け取った人は自分の証明書(秘密鍵部分)をパスワードとして解凍してメールを読む、という感じでしょうか。お互いに相手の公開鍵を持ち、自分の秘密鍵で復号や署名を行う方式です。
投稿記事 Posted: 2007年5月12日(土) 12:56
  記事の件名:   引用付きで返信する
解決したあとで、また新たな疑問なのですが、
Thunderbirdは、なぜ相手の証明書がないと暗号化できないんでしょうか?

Mailは、相手の証明書の有無に関わらず、暗号化できたのですが、Thunderbirdでは、相手のデジタル署名を一度でも受け取っていないと、その相手に暗号化メールを送れないようです。

Thunderbirdでも相手のデジタル署名がなくても暗号化できたりしないものでしょうか?
投稿記事 Posted: 2007年5月12日(土) 11:54
  記事の件名:   引用付きで返信する
あらら、なんと …
古典的な方法で解決したんですね。
Netscape Communicatorの頃は そうやってインストールしていたし、今でも相手のPGP/GnuPGの鍵は受信したメールからインストールするんでけど。かなり前のバージョンのThunderbirdで失敗して、それっきり出来ないものと思い込んでいたようです。
最近のS/MIMEの鍵はメールで送られてこなくて、サイトからのダウンロードになってしまっているので、そういう古典的な技を忘れていました。

Macユーザーは標準のMailで、WindowsユーザーはOutlook Express(Explorer経由)で、それぞれOS標準の証明書ストアにインストールしてから、OS標準のメーラーでThunderbirdに送信して、それをThunderbirdにインストールする。で、信頼設定と利用目的を設定する。
ってところでしょうか。これがいちばん楽な方法でしょうね。
投稿記事 Posted: 2007年5月12日(土) 03:28
  記事の件名:   引用付きで返信する
結論から言うと、できました!

まず、OS X標準のMailを使って、Thawteデジタル署名及び暗号化をしたメールをThunderbirdに送り(キーチェーンアクセスに取り込んでいるので、Mailでは最初からデジタル署名及び暗号化ができました)、それをThunderbirdで受信する。

その後「他の人の証明書」で、自分のThawteの証明書と認証局を信頼する、に設定したら見事、デジタル署名と暗号化ができました。

今までアドバイスしてくださった皆様ありがとうございました。
それと、同じMacのThunderbirdユーザーの方の役に少しでも立てたらと思います。

ありがとうございました。
投稿記事 Posted: 2007年5月11日(金) 15:23
  記事の件名:  Re: デジタル証明書の使い方  引用付きで返信する
kiyo4_k さんが書きました:
これらはThunderbirdにはビルトインで入っていると思うのですが … Mac版は違うのかな

確かに、7、8個、ThawteのCA証明書は入っていましたので、すべてユーザーの証明に利用するようにしてあります。

kiyo4_k さんが書きました:
最初の投稿に「証明書は「キーチェーンアクセス」でp12形式で書きだした後Thunderbirdに取り込み」と有りましたが、キーチェーンアクセスというのは標準のアプリではなさそうな感じですが、これで大丈夫なのかは よくわかりません。

「キーチェーンアクセス」は、OS標準のパスワード管理ソフトで、CA証明書や、アプリケーションのパスワード、自分の証明書などがまとめて管理されています。Thawteから証明書がダウンロードされたときも、キーチェーンアクセスが自動的に起動して、証明書を読み込みました。その、キーチェーンアクセスで「自分の証明書」を選択して書き出すとp12形式で書き出されるのです。

MacとWinでは、いろいろ違うかもしれませんので、ちょっと調べてみます。
投稿記事 Posted: 2007年5月11日(金) 10:16
  記事の件名:  Re: デジタル証明書の使い方  引用付きで返信する
私が書いた「Thawte Consulting (Pty) Ltd.」というのは組織名(社名)(O = Thawte Consulting (Pty) Ltd.)ですね。
認証局名称は「Thawte Personal Freemail Issuing CA」(CN = Thawte Personal Freemail Issuing CA)とか、
CN = Thawte Personal Freemail CA
OU = Certification Services Division
だと思います。
それに「Thawte Consulting (Pty) Ltd.」というのは古い名称かも知れません。まぁ、名称で探すわけではないので大丈夫だと思いますけど。
ダウンロード可能かどうかはわかりません。有るとは思いますが探し当てられませんでした。
これらはThunderbirdにはビルトインで入っていると思うのですが … Mac版は違うのかな


最初の投稿に「証明書は「キーチェーンアクセス」でp12形式で書きだした後Thunderbirdに取り込み」と有りましたが、キーチェーンアクセスというのは標準のアプリではなさそうな感じですが、これで大丈夫なのかは よくわかりません。
この「キーチェーンアクセス」を使ったことが正しかったかどうか、Macユーザの助言が欲しいです。

私の感覚ではPKCS12のファイルをインポートする、というものですがOpenssl用に変換するのには苦労しましたがWindowsの場合は簡単にWindows証明書ストアに取り込めるので。
最初に Firefoxなどのブラウザに証明書を取り込んだなら、そのままエクスポートとインポートでThunderbirdに持ってこれると思うのですが。

他に注意点と言えば、最初にインポートするときにエクスポート可能なように設定しておくぐらいだと思います。
投稿記事 Posted: 2007年5月11日(金) 03:40
  記事の件名:  Re: デジタル証明書の使い方  引用付きで返信する
kiyo4_k さんが書きました:
具体的には、
(Win版ですが)オプションから、「証明書タブ」→「証明書を表示」→「認証局証明書」→Thawte Consulting (Pty) Ltd.を選択して「設定ボタン」→「この証明書をメールユーザの識別に使用する」にチェックマーク
# 他にThawteになりすました証明書は無いと思うのでThawteのもの全部に設定しても良いかも


ありがとうございます。少しずつ証明書の仕組みが分かってきましたが、複雑ですね。

「認証局証明書」の所のにある大本の認証局の名前で、Thawteの名前を含む物は、
・Thawte
・Thawte Consulting
・Thawte Consulting cc
の3つで、kiyo4_kさんがお書きになった、「Thawte Consulting (Pty) Ltd.」という名前がどこにもないのです。一応、上の大本のThawteの中にある証明書には、すべての物に「この証明書をメールユーザの識別に使用する」にチェックマークをしましたが、変化なしでした。

「Thawte Consulting (Pty) Ltd.」の証明書を、どこかでダウンロードして「インポート」する事はできないのでしょうか?
投稿記事 Posted: 2007年5月10日(木) 13:54
  記事の件名:  Re: デジタル証明書の使い方  引用付きで返信する
Cai さんが書きました:
kiyo4_k さんが書きました:
あぁ、だけど「原因不明の問題により、この証明書の有効性を検証できませんでした」というのはおかしいかも。(Thunderbirdのメッセージのバグということもあり得るかも)

原文は "Could not verify this certificate for unknown reasons." です。
http://lxr.mozilla.org/l10n-mozilla1.8/ ... erties#108
http://lxr.mozilla.org/mozilla1.8/sourc ... erties#105

_CertRevoked = すでに失効
_CertExpired = 期限切れ
_CertNotTrusted = 証明書を信頼していない
_IssuerNotTrusted= 発行者を信頼していない
_IssuerUnknown = 発行者が不明
_CAInvalid = 認証局の証明書が無効
_Unknown = 原因不明

この並びで "unknown reasons" となっているので"原因不明の理由"という文言は正しいようですね。
原文を探してみましたがルート証明書に関するメッセージが有りません。ルート証明書に関するエラーと証明書のフォーマットに関するエラーが有る場合に表示されるメッセージなのかも。

私はWin版ですがThawteとComodoの証明書は信頼を設定してから使えています。Mac版で使っている人からの報告を期待しましょう。


----
愚痴ですが …
Thunderbirdはメールソフトであり、証明書の設定はメールソフトとして必要なものを自動で設定すれば良いように思います。セキュリティデバイスのための設定は必要だと思いますが、証明書の設定ダイアログにサイトの証明書は余計ですし、「この証明書をサイトの識別に使用する」とか「この証明書をソフトウェア制作者の識別に使用する」などはメールソフトには無縁なものです。「この証明書をメールユーザの識別に使用する」さえもThunderbird上では決まり切っているので余計としか言いようがありません。証明書を信頼するかしないかの設定だけで良いと思っています。

WebブラウザであるFirefoxとソースやモジュールを共用させている弊害としてユーザにわかりにくくさせていますね。
しかも、(古いバージョンでしか試していませんが)FirefoxとThunderbirdと別の証明書ストアになっているのが使いにくいところです。ユーザに二度手間ならぬ三度手間を強要していますね。
(Winストアに証明書を入れる→Firefoxに証明書を入れる→Thunderbirdに証明書を入れる)
投稿記事 Posted: 2007年5月10日(木) 01:27
  記事の件名:  Re: デジタル証明書の使い方  引用付きで返信する
atsuo さんが書きました:
少し気になったのですが、
Thawte Personal Freemail CAと私の証明書の、Thawte Freemail Memberは微妙に名前が違うのですが、OKなのでしょうか?

残念ながらThunderbirdには どの証明書がどのCAやルート証明書に依存しているかというのはわかりにくいです。でもThawteなら「Thawte Consulting (Pty) Ltd.」という表示のもの全てを信頼するとして、Thawte Consulting (Pty) Ltd.の全てのルート証明書やCA証明書に対して「設定」ボタンで表示されるダイアログで「この証明書をメールユーザの識別に使用する」にチェックマークを付けてしまっても良いと思います。

具体的には、
(Win版ですが)オプションから、「証明書タブ」→「証明書を表示」→「認証局証明書」→Thawte Consulting (Pty) Ltd.を選択して「設定ボタン」→「この証明書をメールユーザの識別に使用する」にチェックマーク

# 他にThawteになりすました証明書は無いと思うのでThawteのもの全部に設定しても良いかも

あと、他人の証明書に対しては同じように「他の人の証明書」にて「設定」で信頼性を設定しないと使えませんから同じように信頼性(信頼するかしないか)を設定します。
投稿記事 Posted: 2007年5月10日(木) 00:51

All times are UTC + 9 hours


ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean