Google、Gmail の POP3 フェッチ機能でオレオレ証明書を拒否する仕様に 59
ストーリー by reo
どんどんやってくれたまえ 部門より
どんどんやってくれたまえ 部門より
ある Anonymous Coward 曰く、
Gmail には外部の POP3 サーバーに接続してメールをフェッチする機能がある。このフェッチ機能は SSL 経由での接続もサポートしているのだが、Gmail Help のページによると、今月から適切な署名がないいわゆる「オレオレ証明書」を利用している場合はサーバーへの接続が拒否されるという (本家 /. 記事より) 。
POP3 フェッチ機能を利用していて最近急にエラーメッセージが表示されるようになった、という人は設定を確認してみたほうがよさそうだ。
一部のSSL証明書では中間証明書も必要 (スコア:3, 参考になる)
12月10日あたりだったと思うのですが、Rapid SSL の証明書を私の所で使っていたのですが、自己証明なため拒否するようなメッセージが。 調べてみたところ、RapidSSLにも中間証明書があったので、コレをインストールしてみたところうまくいきました。
ってことで、オレオレでない証明書をご利用な方もご注意ください。
Re:一部のSSL証明書では中間証明書も必要 (スコア:2)
自己証明というのは発行者 issuer と発行先 subject が同一のものをさすと思うので、中間証明書が足りないというのとは微妙に異なると思いますが、いずれにせよ、接続してみるのが一番です。
とかしてみて最後の方で Verify return code: 0 (ok) となれば大丈夫だと思います。ならなければ最初の方の Certificate chain あたりを見てみるとかします。
openssl.cnf の設定が足りなければ、信頼できるルート証明書の位置をオプションで指定して下さい。詳しくは man s_client 参照のこと。
もちろんこれは稼働中のサーバにしか使えないので、お仕事のときにはサーバを再起動や reload する前に openssl verify で確認しましょう。が、中間証明書のインストール方法などはサーバによってバラバラなので、やっぱり再起動後に確認する必要があるとは思いますが。
Re: (スコア:0)
第六種オレオレ証明書というやつでしょうか
http://takagi-hiromitsu.jp/diary/20051118.html#p01 [takagi-hiromitsu.jp]
Gmailに転送すればいいのでは? (スコア:2)
POP3ではなく転送では駄目ですか?
Re:Gmailに転送すればいいのでは? (スコア:2, 興味深い)
同じメールサーバを使ってる別のユーザにも迷惑がかかるからPOP3にせよ、と所属組織から非公式のお達しが来たことがありました
その後、解決したのかな。
Re: (スコア:0)
所属組織へのメールをgmailに転送してもいいだなんて、ずいぶん牧歌的な組織でうらやましいことだな。
#ふつー"gmail禁止"。webアクセスもできん。
Re: (スコア:0)
どっから組織の話ってのが出てきたの?
Re: (スコア:0)
> POP3にせよ、と *所属組織* から非公式のお達しが来た
Re: (スコア:0)
このトピック見て、逆にそのような転送をさせないためにオレオレ証明書仕込もうかと思っている鯖管がここに一人。
Re: (スコア:0)
こんなストーリーもありましたね。
Gmailへのメール転送で注意。ドメイン全体が拒否される可能性 [srad.jp] (2008年05月14日 14時56分)
Re: (スコア:0)
できない場合に使うものです。
オレオレでないSSL証明書が必要 (スコア:1)
おうちサーバのメールをGMailからPOP3s取得させてるみたいな、「ユーザは自分だけ」の場合でも
認証機関が署名したSSL証明書を入手(業者から買ったり無料でもらったり)しないといけない、と
いうことですか
# ただのPOP3にするってのはできればナシの方向で。
popだけじゃないよね。 (スコア:1)
imapもだよね。
これを機会に個人向けの無料証明書でもとってみようかな。
# retrieving mail ってimapも含まないとか?
スルースキル:Lv2
Keep It Simple, Stupid!
Re:popだけじゃないよね。 (スコア:1)
他人が発行する無料証明書より、
俺様が発行したオレオレ証明書のほうが
よっぽど信頼できるのに。
gmailなんて使わないけど、
オレオレ証明書を敵視する風潮は嫌だな。
Re:popだけじゃないよね。 (スコア:2, おもしろおかしい)
>他人が発行する無料証明書より、俺様が発行したオレオレ証明書のほうがよっぽど信頼できるのに。
お前自身の「俺様は信頼できる」という主張なんぞ信頼できるものか。
Re:popだけじゃないよね。 (スコア:1)
ユーザーは自分のみという場合に限定すれば、自分が発行した証明書は、どこぞの他人が発行した無料証明書より、よっぽど自分自身にとっては信頼できると思いますよ。ただし自分以外の誰かが信頼できるかというと別の次元の問題。
Re:popだけじゃないよね。 (スコア:1)
今回は「Gmailがユーザー」ですから全く信用できないねという話にしかなりません。
Re: (スコア:0)
自分を信じるんだ!!
…という話ではないの?
Re: (スコア:0)
自分を信じるな!
お前を信じる俺を信じろ!!
Re: (スコア:0)
どこの兄貴ですか
# 再放送するみたいですね
Re: (スコア:0)
ここで言う信頼は「ある秘密鍵が漏れていない」という点に関する信頼だからね。内容を公にするならまだしも、自分で使うサービスで不利益を蒙るのも自分なら、俺俺でいいような気もする。マルウェアとかにやられちゃったらどうしようもないけれど、それでも諦めがつく、というか。
# ハードディスクが飛んで鍵を失くしたことならある。いや、バックアップとるのもマズいような気がしてたんだよね。何となく。
Re: (スコア:0)
Re: (スコア:0)
つ「部分信頼」
Re: (スコア:0)
「信頼できない」とは「発言がいちいち真偽不明」という状態であり、
「発言が一貫して偽であると期待できる」というわけではない。
「俺様は信頼できない」というコメントを偽と仮定すると矛盾が生じるが、
真と仮定してもとくに矛盾は生じない。(たまたまこの発言は真だった)
よって、信頼できる。
Re:popだけじゃないよね。 (スコア:1)
当然オレオレ認証局の鍵をブラウザとかクライアントに入れてるんだろうね
そうすればお前様はオレオレ証明書を信頼できるだろうけど
googleから見ればお前様がお前様であることを信頼できないだろ
第4種 (スコア:0)
Google から見て信頼できる必要はあるのか。
どの認証局を信頼するかの判断をユーザが制御できなくてよいのか。
Re:第4種 (スコア:1)
Google から見て信頼できる必要がないのであれば、SSL 経由にする必要もない
お前様のPOPサーバを騙ってSPAMをgmailに注入できる可能性があるのは同じ
社内文書は社内の合意が取れてればあらかじめ伝えた三文判でいいが、社外に出すしかるべき文書は実印(鍵)と印鑑証明(認証局の証明)が必要ってこと
Re:第4種 (スコア:2)
Gmail側の設定だって証明書作った本人がやるんだし別にいいんじゃないかな。
そりゃあかつて平文で流れていたかもしれないメールだけど、また平文で流れるのは嫌でしょ。
偽のPOP3サーバならURLが証明書と一致してないだろうし、騙される可能性は低いと思う。
逆に一致してたらもう色々手遅れ。
Re:第4種 (スコア:1)
オレオレ証明書を望む人にはこれが最適解だと思うが
無償ユーザーにどこまでサービスするかという話
仮に有償でそういうサービスがあったとしても、普通に認証局の鍵買ったほうが安い予感
Re:popだけじゃないよね。 (スコア:1)
httpやらpopやらだとユーザ層も使い方も違うので、sshの良い感じのバランスをそのまま導入と言うわけには行かないんでしょうけど、 もうちょっと何とかして欲しい場面は多々あります。
まあ、結局、そこまでして色んなプロトコルでSSLの導入を考えるぐらいなら、sshのポート転送やらSOCKSやらに乗っける方が楽なんですが。
Re: (スコア:0)
ニセモノも同じことを言うと思うけど……。
Re:オレオレでないSSL証明書が必要 (スコア:1)
# ただのPOP3にするってのはできればナシの方向で。
APOPで十分じゃない? どうせ、SMTPの段階では、一部を除いて暗号化されてないんだし。
おうちサーバのメールをGMailからPOP3s取得させてるみたいな
POP/STARTTLSはサポートしてるのかな?
Re: (スコア:0)
パスワードの安全性は?
Re: (スコア:0)
APOP はなりすましのサーバに接続してしまうとパスワードを見破られる脆弱性があるのでダメです。接続しているサーバが本物であることをSSLで確認すればいいのですが、いずれにしてもオレオレ証明書を使っているサーバに接続するのは危険という結論になります。
参考資料: 脆弱性を報じる記事 [impress.co.jp]
Re: (スコア:0)
おうちサーバーなら Gmail に転送できないの?
Re:オレオレでないSSL証明書が必要 (スコア:1)
それをやって、spam発生源と認定されちゃった、って話 [srad.jp]があったね。
ある程度spamを除去した上でやらないと、同じ目に遭うかもよ。
すべてはSpam撲滅のため (スコア:0)
自宅メールサーバー持ってないしSPAM撲滅が前進するので賛成
Re:すべてはSpam撲滅のため (スコア:1)
Re:すべてはSpam撲滅のため (スコア:1)
私がもしGoogleのSpamフィルタを開発していたらできるだけ得体の知れないメールサーバーは御免被りますね
スパムフィルターに怪しげなメールデータを流し込まれたり、スパム判定されるかどうかの自動チェックみたいなサーバーを繋げられるかもしれないですよね
証明書は簡単に取得できますが少しはハードルになるんじゃないですか?
Re: (スコア:0)
私がスパム業者だったらそんな面倒なことせずに直接Gmailアカウント宛にメール出して反応みますけど。
私がもしGoogleのSpamフィルタを開発していたら受信拒否では無く、フェッチ経由のメールは
スパムフィルタの学習をさせない設定にしたり閾値を下げる程度の対応にする。
POP3フェチに見えた… (スコア:0)
ただ、それだけです。
Re:POP3フェチに見えた… (スコア:2)
APOPでチャレンジされたいとか、階層化されてないのですべてすぐに見られるとか…
#ネタ不足。
どうせ数百円でとれる証明書は許可するんだろ? (スコア:0)
オレオレ証明書だけ拒否ってもなんの意味があるのよ。
Re: (スコア:0)
今までなら無料のGoogle appsで自前のドメインつかってメール運用を考えてたような人が、gmailの強力なSPAMフィルタとUIを使う目的で自宅サーバ+GMailからのPOP3に行かずに毎月いくらのGoogle apps Biz.の客になってくれる、とか?
Re: (スコア:0)
オレオレ証明書などというバカげた悪習を排除できる
Re: (スコア:0)
サーバもクライアントも自前の場合には「バカげた悪習」でもなんでもないでしょ。
MUAがおせっかい入れるようなところじゃないと思う。
Re: (スコア:0)
組織によってはPrivate CAというものもあってだな。
今回のような部分では使わんけど、
オレオレ=馬鹿げた悪習、というのはどうかと思う。
Re: (スコア:0)
数百円で、自分の所有していないドメインの証明書を発行してもらえるサービスをぜひ教えてください。
ブラックリストに入れますので。
この際 (スコア:0)
ネットの巨人、Google様が無料で証明書署名・発行しては?
Re: (スコア:0)
「この証明書の発行元は信頼できません」