S/MIME暗号で有効な証明書(メールのあて先)が複数あっても
選択させてくれません。
S/MIME署名メールを開くと、自動的に”他の人の証明書"に
証明書が入っていくのは便利ですが、知らないうちに
有効な証明書が複数になっていることがあります。
暗号化メールを送信する場合、意図しない証明書のほうで
暗号化してしまうことがあるようで、ちょっとはまりました。

有効な証明書が複数ある場合は選択できるようになる
オプションってあるのでしょうか？
Thunderbird 1.0.6よりも新しいバージョンでは
解決されているのでしょうか?

基本的にメールアドレスと対にして管理されるべきS/MIME証明書が同一のアドレスで複数存在することが理解できないのですが．．．．
PGPとは違い、S/MIMEではアドレスを拠り所にして証明書を探す仕組みなので同じアドレスで複数の証明書が有った場合はどれが採用されるのかは不定になりそうな気がします。

それよりも同一アドレスの証明書を自動でインポートしてしまうほうがバグかも

＃ 今、テスト用のS/MIMEの証明書を無くしてしまっている状態なので動作を確かめたわけではないです。


もうひとつ、「意図しない証明書のほうで暗号化してしまう」という状況ですが、相手は証明書を持っているから署名で送ってきたのであって、それで復号出来ないことは無いはずなのでは？

|>有効な証明書が複数ある場合は選択できるようになる
|>オプションってあるのでしょうか？
|
|基本的にメールアドレスと対にして管理されるべきS/MIME証明書が同一の
|アドレスで複数存在することが理解できないのですが．．．．
|PGPとは違い、S/MIMEではアドレスを拠り所にして証明書を探す仕組みなので同じ
|アドレスで複数の証明書が有った場合はどれが採用されるのかは不定になりそう
|な気がします。
|
|それよりも同一アドレスの証明書を自動でインポートしてしまうほうがバグかも

|もうひとつ、「意図しない証明書のほうで暗号化してしまう」という状況ですが、相手
|は証明書を持っているから署名で送ってきたのであって、それで復号出来ないこと
|は無いはずなのでは？

復号は出来ても、意図しない人も復号できてしまう可能性があるのです。
秘密鍵の生成を証明書発行者が行う場合、証明書の発行者も
復号化できます。

意図しない証明書で暗号化されると問題が起こるシステムは
作ってはいけませんということかもしれませんが。 (^^;

プロジェクトごとにS/MIMEの証明書を発行するようなことは
あり得るので、同一のアドレスに対して複数存在することも
理解できるのではないでしょうか。
暗号化メールが送られてきたら、すべてのICカードを挿入
するのは、結構、面倒かもしれません。
送信者と件名である程度判断できれば便利のように思います。

S/MIME証明書をなくしてしまったり、ICカードが壊れて
新しいS/MIME証明書を作った場合も、同一アドレスに
対して複数存在し得ます。この場合は、古い証明書を
失効すれば、有効な証明書は１つになるのですが、
メール送信時にOCSPレスポンダで100%、証明書の
失効が確認できれば、ということになると思います。
CRLによる失効確認では、100%ではないので、
復号化できないメールが送られてきたときに、
はまることになるでしょう。だいたい問題ないなら
よしとしましょうということかもしれませんが。

S/MIME証明書は、OCSPレスポンダで失効確認が
できるものでないといけません。ということであれば
暗号装置開発者は泣いて喜ぶかもしれません。
(ひとりごとです。)

S/MIMEの証明書が選択できなくとも、
原因がわかっていれば、問題は回避できるように思います。
レスポンいただきありがとうございました。

なるほど、
私の知っている運用とはちょっと違うようですね。
どういう運用が正だとか間違っているとかというものは無いと思いますから、こういう運用なら宛先ごとに証明書を選択できれば便利だと思います。

私がユーザーの場合は、証明書を無くしたときは発行者から再発行ではなく再送付してもらうので証明書自体は同じものですし、各発行者は例えば会社の場合はユニークなメールアドレスに対して発行されるので会社が同じならプロジェクトが違っても証明書は同じものを使っています。ですので、証明書は常にアドレスと１対１のものを複数アドレス分を登録してあるので”選ぶ”という状況は無いです。
他の人も このような運用は多いのでしょうか？


自分で証明書をたくさん作って、各メールソフトで送信時に証明書を選択可能なのか調べようと、opensslをWindowsXPにセットアップしたのですが、ＣＡ作成のところでフリーズしてしまって先に進めません　(^^;)

解決策を知らず、やじ馬でしかないのですが、おたずねしてもよいですか。



ということは、証明書は PKI の信頼ツリーに組み込まれていない勝手証明書ですか?

本当に勝手証明書だとしたら、証明書の信頼性はどうやって確保してらっしゃいますか? IC カードに入れて配布してらっしゃるのでしょうか?

勝手証明書とは？　自前のＣＡということでしょうか？
それともメールアドレスに対して発行された証明書自体のことですか？

会社などで自社の管理部門がＣＡとなっている証明書は多いです。受け取った「.p12」ファイルのインポートはfirefoxやThunderbirdに取り込んでＣＡを信頼するに設定して利用できています。SmartCardのほうは認証時に使うだけだと思いますが私は使っていないのでわかりません。
証明書そのものの「信頼性」に関しては、知らない相手から受け取っているわけではないのでステータスは「絶対的信頼」ですね。
もちろん、社用で発行された証明書の秘密鍵やパスワードは会社が握っているわけですが．．．


-----
ちなみに、前の投稿の後でいくつかの無料や期間限定のメールアドレス用の証明書を作成してもらって登録しましたが、そのメールアドレス宛に暗号化を行おうとしてもThunderbirdでは選択することは出来ませんでした。Thunderbirdではそのような使い方は想定していないのではないかと思います。
私は前に書いたように証明書とメールアドレスは１：１だと考えているのでThunderbirdはおかしくないと思います。

解決策になるかどうかわかりませんが、ひとつ

自前でＣＡを持っていて、メールサーバーも自前のものならば、「＋アドレス」の使用を許可しておいて、プロジェクトの略称などを付加した形で証明書を発行すればどうでしょうか。

address@company.co.jp ならば、address+project1@company.co.jp という風に。
address+project1@company.co.jp と address+project2@company.co.jp は違う証明書になるはずなので．．．（自前ＣＡのソフトで、＋アドレスで証明書を発行できるのかどうかはわかりませんが）

というのはダメでしょうか。