Mac、iOS向けメール用S/MIME証明書を取得

昨年の今頃、S/MIME用の電子証明書を入手する話をしました。
米国のSymantecから電子証明書を購入し、MacとiOSデバイスにインストールして、メールに電子署名を行うことができました。
今年もあと一週間でその電子証明書の有効期限がやってくるため、継続を行うつもりでした。ところが…

Symantecの個人向け電子証明書の販売終了

米国Symantecは、S/MIMEの電子証明書の販売をやめてしまいました。
これがSymantecから送られてきたメールです。
mail

Symantec has discontinued its Digital ID for Secure Email product and renewals are no longer possible. However, we have worked out an arrangement with IdenTrust, another PKI vendor, to make it easier for customers to buy Digital IDs for Secure Email certificates. Customers can purchase these certificates from IdenTrust by following link: https://www.identrust.com/symantec/smime/index.html

IdenTrustならもっとかんたんに証明書が取得できますよってことです。
そもそも、IdenTrustって信頼できる会社なの? と思っておりましたが、ほかにリーズナブルな価格で取得できるところはないし、Symantecが太鼓判を押してくれているから、いいかな? と思い、乗り換えることにしました。

また、無料で証明書と鍵を取得できるというサイトもありましたが、メールのセキュリティは信頼性が重要なのに、それを無料で利用できるというのは抵抗があります。相手もプロフェッショナルなので、きちんと対価を払って、信頼できるサービスをお願いしたいものです。

IdenTrustからS/MIME用電子証明書を購入する


Symantecユーザー向けに、電子証明書購入のためのLPから、購入画面へ進みます。

費用は年間$19。個人向けとしては手頃な値段です。
3ステップで申し込めると言うことです。

英語ですが、契約者の情報を入力し、つづいて支払い情報を入力していきます。支払いにはVISAとMasterCard、American Expressが利用できます。JCBは使えないので、ご注意ください。

そして入力したメールアドレス宛に確認のメールが届きます。このメールは、IdenTrustが入力したメールアドレスが実在するかどうかを確認しています。確実に受け取れるようにしましょう。よく「迷惑メール」「Junk」に入ってしまうので、そのメールボックスもチェックするようにしてください。

確認コードを入力すると、決済が始まります。決済にはしばらく時間がかかります。

決済が終わると、アクティベーションコードとアカウントIDが発行され、電子証明書が使えるようになります。

IdenTrustからS/MIME電子証明書を取得する

Get Certificate

送られてきたメールの手順に従い、 https://www.IdenTrust.com/install から電子証明書をインストールします。
対応ブラウザはFireFox、Safariなのですが、FireFoxがおすすめです。

メールに記載のActivation Codeと、先ほどの手順で設定したパスワードを入力します。

Safariだと正しく証明書がインストールされない

Safariを使うと、「ダウンロード」フォルダへcertificate.cerというファイルが保存されます。
certificate.cer
これをダブルクリックして「キーチェーンアクセス」へ登録したのですが、「自分の証明書」として登録されず、鍵もありません。
そのため、「.p12」形式で書き出すことができず、「メール」で使用するTLS証明書として使用することができません。
the certificate is not mine
何時間も悩んだ末、この方法をあきらめました。

FireFoxではブラウザの証明書をバックアップしてOSに読み込ませること

Firefox exports certificates

FireFoxを使うと、システムでは無く、ブラウザに証明書がインストールされます。そのためOSで使用するためには、ブラウザから個人情報ファイル「.p12」を書き出し、それをキーチェーンアクセスに登録する必要があります。

FireFoxで「設定>詳細>証明書」にアクセスし、「証明書を表示」させます。
その中に「のIdenTrust ID」がありますので、それをクリックして、「バックアップ」します。
「すべてのファイル」を選択して保存すると、.p12ファイルができあがります。それをダブルクリックすると、キーチェーンアクセスへ登録されます。
この方法で「自分の証明書」へ鍵を登録でき、メールでTLS証明書として使用することができます。

取得した証明書の設定

setting of certificate

取得した証明書を右クリックしてメニューを呼び出し、「情報を見る」を行います。
そこでS/MIMEの設定で「常に信頼する」を選択します。
これを行わないと、ほかのMacやiPhone/iPadなど、デバイスへ転送しても信頼できる証明書として認識できず、メールに署名することができないからです。

Macで電子署名つきメールを送る


メールの「環境設定>アカウント」を開き、TLS証明書に先ほど取得した証明書を指定します。証明書が指定できなければ、いったんアプリケーションを終了してください。

メールを作成すると、タイトルの右側に南京錠とバッジのアイコンが表示されます。
右は「電子署名」で、これが青くなっている状態では電子署名が有効です。
左の南京錠は「暗号化」で、相手へ送るメールが暗号化されます。お互いが電子署名付きメールを交換し、相手の公開鍵を持ってていることが確認できるときのみ有効です。

送られたメールには、差出人にバッジが表示されます。先ほど登録した証明書の名前が表示されていれば成功です。

鍵を書き出す

ここからは去年と同じ手順です。右クリックしてダイアログから「個人情報交換.p12」を選択し、パスワードを設定してファイルを保存します。
保存したファイルを、AirDropを使用してiOSデバイスやほかのMacに転送します。
ここではAirDropを使いましたが、それでなくてもOKです。ただ暗号化されていないメールやクラウドで送るのはおすすめしません。
証明書をAirDropで送信

iOSデバイスの設定

iPodの設定
送られてきた証明書をインストールします。
証明書保存に使用したパスワードと、PINコードを入力すると完了します。

つづいて、メールで使用する証明書の設定を行います。
iCloudであれば、「設定>iCloud>詳細 メール>詳細>署名」と進みます。下の方にある項目のため、なかなか見つけづらいです。

「署名」をオンにし、証明書に先ほどインストールした証明書があることを確認します。

試しにメールを送る

自分宛などにメールを送ってみましょう。宛先を入力すると、青くて開いた状態の南京錠が表示されます。この状態では「電子署名」のみを行います。

送られてきたメールには、差出人に青いバッジが付与されています。そのバッジをタップすると、先ほど登録した証明書が表示されているはずです。
もし古い証明書が付与されているならば、古い証明書を削除してみてください。

電子署名にまつわる課題

電子署名を使うことにより、相手先とのメールのやりとりを暗号化することもできますし、メールによるなりすましなどのリスクを抑えるなどの効果が期待できます。

製品に関する情報など、メールに機密性が求められる場合、開発者同士のやりとりを暗号化することで対応できます。
わざわざzipファイルにパスワードで暗号化し、パスワードとzipファイルのメールを分けて送るなどの原始的な方法をとる必要も無いわけです。

また、経理部へ取引先を装ったメールが送られ、架空の「代金」を振り込まされ、だまし取られる詐欺も横行しています。もし取引先が電子署名を導入していて、常に電子署名付きでメールを送っているのであれば、経理部は電子署名のついていない偽メールを信頼しないので、被害のリスクが減ります。

また、会社から送るメールすべてを電子署名付きにすれば、仮に会社・社員を騙る偽のメールが横行しても、それらには電子署名が無いため、取引先・顧客にもメールが偽物だと分かるというわけです。

電子署名により、会社の信頼性が高まるというわけです。

ただ、電子署名にも課題があります。

国内で取り扱っている業者が少ない

企業向けのサービスはいくつかありますが、個人またはSOHO向けの製品は皆無です。

SymantecのWebページにもClass1(https://www.symantec.com/ja/jp/pki-class-cert/)の個人向け電子証明書の紹介があり、試用版のURLが掲載されていますが、すでに米国Symantecのサービスは終了していることを告知するページへリンクされています。
つまり、需要も少ないため、Webサイトを直していないことが考えられます。

Android用標準GMailアプリがS/MIMEに対応していない場合がある

スマートフォンを使ったことが無いので分からないのですが、標準のメールアプリがS/MIMEに対応していないようです。
Google Playで900円くらいで買えるアプリを導入するしか無いのでしょうか。

手順が煩雑で使っている人が少ない

個人向けの証明書取得のため、わざわざ米国のIdenTrustを使うことになり、電子証明書とメールの秘密鍵を作成するのに手間がかかったことから、ここまでして電子署名を使う意味があるのか? と思われても仕方がありません。

スマートフォン単体では証明書が取得できない

スマートフォンでのメールのやりとりを暗号化したくても、パソコンを持っていなければ証明書を取得できません。
証明書の取得はFireFoxでできますが、iOS用のFireFoxでは不可能でした。
パソコンすら持っていない人もいるので、スマートフォンだけでも電子証明書を取得できるようになって欲しいです。

コストパフォーマンスに難あり?

企業向けの証明書になると、年間6〜15万円かかります。果たしてそれが安いのか高いのか。
企業が抱えるリスクがそこまで大きければ、安いのかもしれませんが、大抵の企業はなりすましメールのリスクが高く見積もられていないようで、コストに見合わないと考えるでしょう。

仮に会社の顧客情報が漏洩したと仮定します。顧客情報を盗んだ組織がその会社を騙ったフィッシング詐欺メールを顧客に送りつけ、顧客に架空請求などの被害を与えます。もし普段から会社が顧客に電子署名を行っているならば、フィッシング詐欺メールに電子署名はつかないことから、顧客はあれ? と思うわけです。そこで架空請求による被害が減少するはずです。

そのフィッシングメールは、顧客にとってはその会社のメールであると信じていますので、会社にだまされてしまったと感じるでしょう。そうして失った顧客の信頼は、取り戻すことはできません。


コメント

送信フォーム

入力エリアすべてが必須項目です。

内容をご確認の上、送信してください。

※メールアドレスは公開されません