デジタル証明書を使ってみようと思い、Thawteで、フリーのメール証明書を取得しました。

証明書をThunderbirdに取り込むまではうまくいったのですが、デジタル署名をメールにつけて送ろうとすると、「原因不明の問題により、この証明書の有効性を検証できませんでした」というアラートが出て、デジタル署名をつけてメールを送る事ができません。

Thawteで無料のメール証明書を取得して、Thunderbirdで使用できている方がいらっしゃいましたら、方法などを教えてください。

環境
Mac OS X 10.4.9
Thunderbird2.0.0.0
証明書は「キーチェーンアクセス」でp12形式で書きだした後Thunderbirdに取り込み

「証明書を表示」→「認証局証明書」のところで適切な信頼性を設定済みですか？

なぜかThunderbirdは初期状態では「メールユーザーの識別」には信頼性が設定されていないCAが多いですね。（ヴェリサインは何もしなくても使えますが）

Macも同じかどうかは知らないのですが…　？

あぁ、だけど「原因不明の問題により、この証明書の有効性を検証できませんでした」というのはおかしいかも。（Thunderbirdのメッセージのバグということもあり得るかも）

原文は "Could not verify this certificate for unknown reasons." です。
http://lxr.mozilla.org/l10n-mozilla1.8/ ... erties#108
http://lxr.mozilla.org/mozilla1.8/sourc ... erties#105

_________________
[Desktop] Windows 10 Pro 22H2 (64bit) / Intel Core i7-2600 / Nvidia GeForce GTX 1650 GDDR6 / 32 GB Memory
[Laptop] Windows 10 Pro 22H2 (64bit) / Intel Core i5-520M vPro / Intel HD Graphics / 8 GB Memory
[Android] Android 13.0 (arm64) / Xperia 5 III (XQ-BQ42)
常用環境: Firefox ベータ版、リリース版 (Win64 x86-64, Android), Thunderbird ベータ版、リリース版 (Win64 x86-64)
テスト環境: Firefox (ESR, Nightly, Win64 x86-64, Android)
Cai/1.0 (Homo sapiens; N; Homo sapiens chemist; male; rv:0.0.4.1+)
-- いつまでたっても nightly

お返事ありがとうございます。
よく分からなかった所があるのですが、



とは、どういう事なのでしょうか。Thawte Freemail Memberの場合は、どれが適切な信頼性なのでしょうか？お願いします。

証明書使ってないので外しているかもしれませんが、

Thawte Cousulting というグループの中に Thawte Personal Freemail CA というのがあると思います。これを選択して「表示」をクリックしてください。
証明書ビューアが開くと思いますが、「この証明書は以下の用途に使用する証明書であると検証されました」のところに「メール署名者の証明書」というのはありますか？

_________________
[Desktop] Windows 10 Pro 22H2 (64bit) / Intel Core i7-2600 / Nvidia GeForce GTX 1650 GDDR6 / 32 GB Memory
[Laptop] Windows 10 Pro 22H2 (64bit) / Intel Core i5-520M vPro / Intel HD Graphics / 8 GB Memory
[Android] Android 13.0 (arm64) / Xperia 5 III (XQ-BQ42)
常用環境: Firefox ベータ版、リリース版 (Win64 x86-64, Android), Thunderbird ベータ版、リリース版 (Win64 x86-64)
テスト環境: Firefox (ESR, Nightly, Win64 x86-64, Android)
Cai/1.0 (Homo sapiens; N; Homo sapiens chemist; male; rv:0.0.4.1+)
-- いつまでたっても nightly

はい、あります。
・メール署名者の証明書
・メール受信者の証明書
・ステータスレスポンダの証明書

の三つがあります。
少し気になったのですが、
Thawte Personal Freemail CAと私の証明書の、Thawte Freemail Memberは微妙に名前が違うのですが、OKなのでしょうか？

残念ながらThunderbirdには どの証明書がどのＣＡやルート証明書に依存しているかというのはわかりにくいです。でもThawteなら「Thawte Consulting (Pty) Ltd.」という表示のもの全てを信頼するとして、Thawte Consulting (Pty) Ltd.の全てのルート証明書やＣＡ証明書に対して「設定」ボタンで表示されるダイアログで「この証明書をメールユーザの識別に使用する」にチェックマークを付けてしまっても良いと思います。

具体的には、
（Win版ですが）オプションから、「証明書タブ」→「証明書を表示」→「認証局証明書」→Thawte Consulting (Pty) Ltd.を選択して「設定ボタン」→「この証明書をメールユーザの識別に使用する」にチェックマーク

＃ 他にThawteになりすました証明書は無いと思うのでThawteのもの全部に設定しても良いかも

あと、他人の証明書に対しては同じように「他の人の証明書」にて「設定」で信頼性を設定しないと使えませんから同じように信頼性（信頼するかしないか）を設定します。

_CertRevoked = すでに失効
_CertExpired = 期限切れ
_CertNotTrusted = 証明書を信頼していない
_IssuerNotTrusted= 発行者を信頼していない
_IssuerUnknown = 発行者が不明
_CAInvalid = 認証局の証明書が無効
_Unknown = 原因不明

この並びで "unknown reasons" となっているので"原因不明の理由"という文言は正しいようですね。
原文を探してみましたがルート証明書に関するメッセージが有りません。ルート証明書に関するエラーと証明書のフォーマットに関するエラーが有る場合に表示されるメッセージなのかも。

私はWin版ですがThawteとComodoの証明書は信頼を設定してから使えています。Mac版で使っている人からの報告を期待しましょう。


----
愚痴ですが …
Thunderbirdはメールソフトであり、証明書の設定はメールソフトとして必要なものを自動で設定すれば良いように思います。セキュリティデバイスのための設定は必要だと思いますが、証明書の設定ダイアログにサイトの証明書は余計ですし、「この証明書をサイトの識別に使用する」とか「この証明書をソフトウェア制作者の識別に使用する」などはメールソフトには無縁なものです。「この証明書をメールユーザの識別に使用する」さえもThunderbird上では決まり切っているので余計としか言いようがありません。証明書を信頼するかしないかの設定だけで良いと思っています。

WebブラウザであるFirefoxとソースやモジュールを共用させている弊害としてユーザにわかりにくくさせていますね。
しかも、（古いバージョンでしか試していませんが）FirefoxとThunderbirdと別の証明書ストアになっているのが使いにくいところです。ユーザに二度手間ならぬ三度手間を強要していますね。
（Winストアに証明書を入れる→Firefoxに証明書を入れる→Thunderbirdに証明書を入れる）

ありがとうございます。少しずつ証明書の仕組みが分かってきましたが、複雑ですね。

「認証局証明書」の所のにある大本の認証局の名前で、Thawteの名前を含む物は、
・Thawte
・Thawte Consulting
・Thawte Consulting cc
の3つで、kiyo4_kさんがお書きになった、「Thawte Consulting (Pty) Ltd.」という名前がどこにもないのです。一応、上の大本のThawteの中にある証明書には、すべての物に「この証明書をメールユーザの識別に使用する」にチェックマークをしましたが、変化なしでした。

「Thawte Consulting (Pty) Ltd.」の証明書を、どこかでダウンロードして「インポート」する事はできないのでしょうか？

私が書いた「Thawte Consulting (Pty) Ltd.」というのは組織名（社名）（O = Thawte Consulting (Pty) Ltd.）ですね。
認証局名称は「Thawte Personal Freemail Issuing CA」（CN = Thawte Personal Freemail Issuing CA）とか、
CN = Thawte Personal Freemail CA
OU = Certification Services Division
だと思います。
それに「Thawte Consulting (Pty) Ltd.」というのは古い名称かも知れません。まぁ、名称で探すわけではないので大丈夫だと思いますけど。
ダウンロード可能かどうかはわかりません。有るとは思いますが探し当てられませんでした。
これらはThunderbirdにはビルトインで入っていると思うのですが … Mac版は違うのかな


最初の投稿に「証明書は「キーチェーンアクセス」でp12形式で書きだした後Thunderbirdに取り込み」と有りましたが、キーチェーンアクセスというのは標準のアプリではなさそうな感じですが、これで大丈夫なのかは よくわかりません。
この「キーチェーンアクセス」を使ったことが正しかったかどうか、Macユーザの助言が欲しいです。

私の感覚ではPKCS12のファイルをインポートする、というものですがOpenssl用に変換するのには苦労しましたがWindowsの場合は簡単にWindows証明書ストアに取り込めるので。
最初に Firefoxなどのブラウザに証明書を取り込んだなら、そのままエクスポートとインポートでThunderbirdに持ってこれると思うのですが。

他に注意点と言えば、最初にインポートするときにエクスポート可能なように設定しておくぐらいだと思います。

確かに、7、8個、ThawteのCA証明書は入っていましたので、すべてユーザーの証明に利用するようにしてあります。


「キーチェーンアクセス」は、OS標準のパスワード管理ソフトで、CA証明書や、アプリケーションのパスワード、自分の証明書などがまとめて管理されています。Thawteから証明書がダウンロードされたときも、キーチェーンアクセスが自動的に起動して、証明書を読み込みました。その、キーチェーンアクセスで「自分の証明書」を選択して書き出すとp12形式で書き出されるのです。

MacとWinでは、いろいろ違うかもしれませんので、ちょっと調べてみます。

結論から言うと、できました！

まず、OS X標準のMailを使って、Thawteデジタル署名及び暗号化をしたメールをThunderbirdに送り(キーチェーンアクセスに取り込んでいるので、Mailでは最初からデジタル署名及び暗号化ができました)、それをThunderbirdで受信する。

その後「他の人の証明書」で、自分のThawteの証明書と認証局を信頼する、に設定したら見事、デジタル署名と暗号化ができました。

今までアドバイスしてくださった皆様ありがとうございました。
それと、同じMacのThunderbirdユーザーの方の役に少しでも立てたらと思います。

ありがとうございました。

あらら、なんと …
古典的な方法で解決したんですね。
Netscape Communicatorの頃は そうやってインストールしていたし、今でも相手のPGP/GnuPGの鍵は受信したメールからインストールするんでけど。かなり前のバージョンのThunderbirdで失敗して、それっきり出来ないものと思い込んでいたようです。
最近のS/MIMEの鍵はメールで送られてこなくて、サイトからのダウンロードになってしまっているので、そういう古典的な技を忘れていました。

Macユーザーは標準のMailで、WindowsユーザーはOutlook Express(Explorer経由)で、それぞれOS標準の証明書ストアにインストールしてから、OS標準のメーラーでThunderbirdに送信して、それをThunderbirdにインストールする。で、信頼設定と利用目的を設定する。
ってところでしょうか。これがいちばん楽な方法でしょうね。

解決したあとで、また新たな疑問なのですが、
Thunderbirdは、なぜ相手の証明書がないと暗号化できないんでしょうか？

Mailは、相手の証明書の有無に関わらず、暗号化できたのですが、Thunderbirdでは、相手のデジタル署名を一度でも受け取っていないと、その相手に暗号化メールを送れないようです。

Thunderbirdでも相手のデジタル署名がなくても暗号化できたりしないものでしょうか？

Mailの暗号化方式が何なのか知らないので答えることは出来ませんが、Thunderbirdは標準では一般的にS/MIMEと呼ばれる形式で公開鍵暗号方式を利用しています。
私のサイトやWeblogでは暗号方式の説明や初心者向けの説明は扱っていないので
まず以下のサイトの記事を読んでみて、わからない言葉を さらに検索してわかりやすく説明してあるサイトの説明を読んでみたら良いと思います。
http://www.atmarkit.co.jp/fsecurity/special/04smime/smime02.html

簡単に言えば、圧縮を解くための鍵を相手の証明書（公開鍵部分）を指定してメール全体を圧縮して固めてから送信し、受け取った人は自分の証明書（秘密鍵部分）をパスワードとして解凍してメールを読む、という感じでしょうか。お互いに相手の公開鍵を持ち、自分の秘密鍵で復号や署名を行う方式です。