― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 4 件の記事 ] 
作成者 メッセージ
 記事の件名: 認証局証明書の更新
投稿記事Posted: 2017年12月27日(水) 12:40 
オフライン

登録日時: 2015年7月20日(月) 07:10
記事: 37
 メールをSMTP/POP3+TLSで送受信しているのですが、
あるサービスプロバイダのメールサーバー側が時々予告なくサーバー証明書を変更し、
その度にサーバー証明書に対する認証局まで変わってしまう謎の運用をするため
「証明書の有効性検証不可」により突然TLS接続と送受信ができなくなります。

事後の対応として相当する認証局証明書(たいがいは CA - SHA256 -G2 として
2014年以降に新規発行されたもの)の手動インポートを強いられています。

 Firefoxなどのブラウザ系アプリケーションはバージョンアップの際に
組み込みの認証局証明書が更新されており、Thunderbird52.5.2に
組み込まれている認証局証明書と比較してみると、2014年頃以降に
発行された証明書がThunderbirdにいまだ組み込みとなっていないようです。

 セキュリティー的に信頼できるソースから最新(例えばFirefox並み)の
組み込み証明書一覧を一括ダウンロードし、Thunderbirdの証明書を
一括更新する手段はないでしょうか?

_________________
Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2017年12月27日(水) 18:51 
※質問するときは、「フォーラムの利用に関するご案内」、とりわけ「質問するときは」に目を通し、Thunderbird のバージョンだけでなく OS の種類など使用環境についての最低限の情報を書き添えることをお勧めします。

f-angel-mzzj さんが書きました:
 セキュリティー的に信頼できるソースから最新(例えばFirefox並み)の
組み込み証明書一覧を一括ダウンロードし、Thunderbirdの証明書を
一括更新する手段はないでしょうか?

ご希望とは異なるかもしれませんが、「一括」という点に着目するなら、次のような情報が役に立つかもしれません。ただし、Windows OS を前提とした話になります。

・Firefox 52以降でのルート証明書の自動インポート機能でできること、できないこと - ククログ(2017-06-01)
http://www.clear-code.com/blog/2017/6/1.html

これは、Windows OS が標準で持つ証明書ストアに存在するルート証明書(Firefox でいう認証局証明書)を、Firefox から利用する方法とその注意事項の記事です。
記事内で紹介されている security.enterprise_roots.enabled の設定項目は Thunderbird 52.x 系にも存在します(初期値= false)。

Windows では OS が標準で持つ証明書の自動アップデートが可能です。Microsoft 社が管理・提供するこれらのルート証明書を信頼するのであれば、半ば自動的に最新の証明書を Thunderbird 52.x 系で利用できる可能性はあると思います

いちおう情報としては知っていたので紹介させていただきますが、ぼく自身はこの方法を使ったことはありません。
当然ながら、信頼性の判断は一筋縄ではいかない側面があります。Mozilla や Microsoft などが提供するそれぞれの製品に含まれ、または更新される証明書をどの程度信頼するかは、ご自身でご判断いただければと思います。

とりあえず以上です。役に立たない話だったらすみません。

(おことわり)
現在、健康上の制約により不定期な書き込みしかできなくなっています。すぐに応答できない場面がかなり多くなりますことを、ご容赦ください。

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2017年12月28日(木) 17:59 
オフライン

登録日時: 2015年7月20日(月) 07:10
記事: 37
 今日になって問題のサービスプロバイダのサポートから電話があり、
「サーバー証明書の変更作業は事前にアナウンスができない。
 TLS接続障害が出たら都度Thunderbird側で証明書をインポートし
 復旧させる判断をして欲しい」
とのこと。万一偽サーバーに誘導されてたらどう判断すればいいんだか…。

偶然的通行人 さんが書きました:
OS の種類など使用環境についての最低限の情報を書き添えることをお勧めします。

 ご指摘ありがとうございます。OS非依存と思い込んで記載を忘れてました。
プラットフォームは Windows7 Professional SP1 で、数台での運用の
ためドメイン・ActiveDirectoryは使用していません。

偶然的通行人 さんが書きました:
・Firefox 52以降でのルート証明書の自動インポート機能でできること、できないこと - ククログ(2017-06-01)
http://www.clear-code.com/blog/2017/6/1.html
Windows では OS が標準で持つ証明書の自動アップデートが可能です。Microsoft 社が管理・提供するこれらのルート証明書を信頼するのであれば、半ば自動的に最新の証明書を Thunderbird 52.x 系で利用できる可能性はあると思います

 参照してみましたが、Windowsが持つ証明書ストアを全て参照する
のではなく、ActiveDirectoryなどを使用したエンタープライズ運用において、
組織内向けに付加した証明書だけThunderbird(52以降)側にマージできるという
機能のようです。マイクロソフト側で更新している主要な証明書部分は対象外でした。

 リンク先の方が書いておられるように
 「ユーザー側の期待と実際の挙動との間に若干の齟齬が見られる」
という状況です(残念)

 メール不通の復旧を急ぐため、とりあえず問題のサーバー証明書の
発行元になっている認証局証明書をFirefox52.5.2ESRから抽出し、
個別のThunderbirdにインポートしました。

 さて、今更気が付いたのですが、本体のバージョンアップに附帯して
証明書が更新されているFirefox52ESRと、共通基盤を持ちながらも
証明書更新が止まっているThunderbird52の間で、証明書ストアで
あるプロファイル内のcert8.dbは共有ないし転用ができないもの
でしょうか?

 そもそも共通基盤を持つMozillaのプロダクトなのに、
開発部隊が分かれた結果、一方の cert8.db が凍結されているのが
今回の問題の遠因ですね。

_________________
Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2018年1月06日(土) 16:57 
f-angel-mzzj さんが書きました:
 参照してみましたが、Windowsが持つ証明書ストアを全て参照する
のではなく、ActiveDirectoryなどを使用したエンタープライズ運用において、
組織内向けに付加した証明書だけThunderbird(52以降)側にマージできるという
機能のようです。マイクロソフト側で更新している主要な証明書部分は対象外でした。

お役に立つ話ではなかったようで、失礼しました。

以下はオフトピ気味な話になりますが、ユーザー同士の情報交換ということでご容赦ください。

f-angel-mzzj さんが書きました:
 さて、今更気が付いたのですが、本体のバージョンアップに附帯して
証明書が更新されているFirefox52ESRと、共通基盤を持ちながらも
証明書更新が止まっているThunderbird52の間で、証明書ストアで
あるプロファイル内のcert8.dbは共有ないし転用ができないもの
でしょうか?

同系バージョンにおいて、Firefox の cert8.db を Thunderbird に転用することは、以前に試したことがあります。
結論としては、Firefox が持つ cert8.db を Thunderbird のプロファイルにコピーして Thunderbird を起動すれば、転用した cert8.db は 問題なく認識されました。
しかし、個々の証明書の中で、Firefox 、Thunderbird それぞれ標準の cert8.db が持つ各証明書の [信頼性を設定] の選択内容が微妙に違うものがあり、その扱いを判断できなかったため、常用には至りませんでした。(どれがどう違ったかは覚えてませんが...。)

個人的なニーズとしては、日本政府と政府系組織のサイトで自己証明書が使われていて、これを Firefox で取り扱いたかったため該当する証明書をインポートして運用していました。後にメールでもその必要が生じ、手っ取り早く Firefox の cert8.db を Thunderbird に転用したのですが、上述のとおり常用は断念し、当該証明書だけを個別にインポートしました。

この cert8.db ですが、現時点でベータ版の Firefox 58 以降、cert9.db への置き換えが遂行されています。共通鍵を担う key3.db も key4.db に置き換えられています。
同様に、Thunderbird でもこの置き換えが進むようです。

現在の Thunderbird は Firefox の ESR 版と歩調を合わせてバージョンアップされています。これまでのサイクルどおりですと、次期 ESR はどちらも 59 になるのですが、Firefox では事情があって次期 ESR は 60 に延期されました。
Thunderbird がどうなるかは把握していませんが、Nightly 版の Thunderbird 59 では、cert9.db と key4.db が導入されていますから、証明書や暗号化わまりの強度を高める動きは、Firefox と同じなのだと思います。

f-angel-mzzj さんが書きました:
 そもそも共通基盤を持つMozillaのプロダクトなのに、
開発部隊が分かれた結果、一方の cert8.db が凍結されているのが
今回の問題の遠因ですね。

率直に言って、Mozilla にとって Thunderbird はもはやお荷物なので、これまでにも切り捨ての話があがっていますよね。
それでも現状を維持しているのは、ユーザーの強い要望があるからだろうと思います。

蛇足的な話で申し訳ありませんが、以上です。


(おことわり)
現在、健康上の制約により不定期な書き込みしかできなくなっています。すぐに応答できない場面がかなり多くなりますことを、ご容赦ください。

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0


通報する
ページトップ
  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 4 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[66人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean