パスワードを忘れた? アカウント作成
6785085 story
Google

Google、Gmail の POP3 フェッチ機能でオレオレ証明書を拒否する仕様に 59

ストーリー by reo
どんどんやってくれたまえ 部門より

ある Anonymous Coward 曰く、

Gmail には外部の POP3 サーバーに接続してメールをフェッチする機能がある。このフェッチ機能は SSL 経由での接続もサポートしているのだが、Gmail Help のページによると、今月から適切な署名がないいわゆる「オレオレ証明書」を利用している場合はサーバーへの接続が拒否されるという (本家 /. 記事より) 。

POP3 フェッチ機能を利用していて最近急にエラーメッセージが表示されるようになった、という人は設定を確認してみたほうがよさそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年12月19日 13時20分 (#2293048)

    12月10日あたりだったと思うのですが、Rapid SSL の証明書を私の所で使っていたのですが、自己証明なため拒否するようなメッセージが。 調べてみたところ、RapidSSLにも中間証明書があったので、コレをインストールしてみたところうまくいきました。

    ってことで、オレオレでない証明書をご利用な方もご注意ください。

    • 自己証明というのは発行者 issuer と発行先 subject が同一のものをさすと思うので、中間証明書が足りないというのとは微妙に異なると思いますが、いずれにせよ、接続してみるのが一番です。

      $ openssl s_client -connect localhost:pop3s < /dev/null | tee log

      とかしてみて最後の方で Verify return code: 0 (ok) となれば大丈夫だと思います。ならなければ最初の方の Certificate chain あたりを見てみるとかします。

      openssl.cnf の設定が足りなければ、信頼できるルート証明書の位置をオプションで指定して下さい。詳しくは man s_client 参照のこと。

      • -CApath /etc/ssl/certs (Ubuntu など、ルート証明書に対し ed049835.0 など“16進数.0” というファイル名のシンボリックリンクがあるディレクトリを指定)
      • -CAfile /etc/pki/tls/cert.pem (Red Hat EL など、ルート証明書をつなげたファイルを指定)

      もちろんこれは稼働中のサーバにしか使えないので、お仕事のときにはサーバを再起動や reload する前に openssl verify で確認しましょう。が、中間証明書のインストール方法などはサーバによってバラバラなので、やっぱり再起動後に確認する必要があるとは思いますが。

      親コメント
    • by Anonymous Coward

      第六種オレオレ証明書というやつでしょうか
      http://takagi-hiromitsu.jp/diary/20051118.html#p01 [takagi-hiromitsu.jp]

  • POP3ではなく転送では駄目ですか?

    • by Anonymous Coward on 2012年12月19日 14時24分 (#2293095)
      spam多い人がGmailに転送していると、転送元のサーバが丸ごとspam源と見なされてGmailに拒否されるようになり、
      同じメールサーバを使ってる別のユーザにも迷惑がかかるからPOP3にせよ、と所属組織から非公式のお達しが来たことがありました

      その後、解決したのかな。
      親コメント
      • by Anonymous Coward

        所属組織へのメールをgmailに転送してもいいだなんて、ずいぶん牧歌的な組織でうらやましいことだな。
        #ふつー"gmail禁止"。webアクセスもできん。

        • by Anonymous Coward

          どっから組織の話ってのが出てきたの?

          • by Anonymous Coward

            > POP3にせよ、と *所属組織* から非公式のお達しが来た

        • by Anonymous Coward

          このトピック見て、逆にそのような転送をさせないためにオレオレ証明書仕込もうかと思っている鯖管がここに一人。

      • by Anonymous Coward

        こんなストーリーもありましたね。

        Gmailへのメール転送で注意。ドメイン全体が拒否される可能性 [srad.jp] (2008年05月14日 14時56分)

    • by Anonymous Coward

      できない場合に使うものです。

  • おうちサーバのメールをGMailからPOP3s取得させてるみたいな、「ユーザは自分だけ」の場合でも
    認証機関が署名したSSL証明書を入手(業者から買ったり無料でもらったり)しないといけない、と
    いうことですか
    # ただのPOP3にするってのはできればナシの方向で。

    • by uron (39597) on 2012年12月19日 12時59分 (#2293016)

      imapもだよね。
      これを機会に個人向けの無料証明書でもとってみようかな。

      # retrieving mail ってimapも含まないとか?

      --
      スルースキル:Lv2
      Keep It Simple, Stupid!
      親コメント
      • by Anonymous Coward on 2012年12月19日 13時08分 (#2293028)

        他人が発行する無料証明書より、
        俺様が発行したオレオレ証明書のほうが
        よっぽど信頼できるのに。

        gmailなんて使わないけど、
        オレオレ証明書を敵視する風潮は嫌だな。

        親コメント
        • Re:popだけじゃないよね。 (スコア:2, おもしろおかしい)

          by Anonymous Coward on 2012年12月19日 13時09分 (#2293031)

          >他人が発行する無料証明書より、俺様が発行したオレオレ証明書のほうがよっぽど信頼できるのに。
          お前自身の「俺様は信頼できる」という主張なんぞ信頼できるものか。

          親コメント
          • ユーザーは自分のみという場合に限定すれば、自分が発行した証明書は、どこぞの他人が発行した無料証明書より、よっぽど自分自身にとっては信頼できると思いますよ。ただし自分以外の誰かが信頼できるかというと別の次元の問題。

            親コメント
          • by Anonymous Coward

            自分を信じるんだ!!

            …という話ではないの?

            • by Anonymous Coward

              自分を信じるな!

              お前を信じる俺を信じろ!!

              • by Anonymous Coward

                どこの兄貴ですか

                # 再放送するみたいですね

            • by Anonymous Coward

              ここで言う信頼は「ある秘密鍵が漏れていない」という点に関する信頼だからね。内容を公にするならまだしも、自分で使うサービスで不利益を蒙るのも自分なら、俺俺でいいような気もする。マルウェアとかにやられちゃったらどうしようもないけれど、それでも諦めがつく、というか。

              # ハードディスクが飛んで鍵を失くしたことならある。いや、バックアップとるのもマズいような気がしてたんだよね。何となく。

          • by Anonymous Coward
            「俺様は信頼できない」というコメントは信頼できるだろうか。
            • by Anonymous Coward

              つ「部分信頼」

            • by Anonymous Coward

              「信頼できない」とは「発言がいちいち真偽不明」という状態であり、
              「発言が一貫して偽であると期待できる」というわけではない。

              「俺様は信頼できない」というコメントを偽と仮定すると矛盾が生じるが、
              真と仮定してもとくに矛盾は生じない。(たまたまこの発言は真だった)
              よって、信頼できる。

        • 当然オレオレ認証局の鍵をブラウザとかクライアントに入れてるんだろうね

          そうすればお前様はオレオレ証明書を信頼できるだろうけど

          googleから見ればお前様がお前様であることを信頼できないだろ

          親コメント
          • by Anonymous Coward

            Google から見て信頼できる必要はあるのか。
            どの認証局を信頼するかの判断をユーザが制御できなくてよいのか。

            • by bero (5057) on 2012年12月19日 22時16分 (#2293309) 日記

              Google から見て信頼できる必要がないのであれば、SSL 経由にする必要もない
              お前様のPOPサーバを騙ってSPAMをgmailに注入できる可能性があるのは同じ

              社内文書は社内の合意が取れてればあらかじめ伝えた三文判でいいが、社外に出すしかるべき文書は実印(鍵)と印鑑証明(認証局の証明)が必要ってこと

              親コメント
              • by aoppana (16506) on 2012年12月20日 12時23分 (#2293604) 日記

                Gmail側の設定だって証明書作った本人がやるんだし別にいいんじゃないかな。

                Google から見て信頼できる必要がないのであれば、SSL 経由にする必要もない

                そりゃあかつて平文で流れていたかもしれないメールだけど、また平文で流れるのは嫌でしょ。

                お前様のPOPサーバを騙ってSPAMをgmailに注入できる可能性があるのは同じ

                偽のPOP3サーバならURLが証明書と一致してないだろうし、騙される可能性は低いと思う。
                逆に一致してたらもう色々手遅れ。

                親コメント
              • by bero (5057) on 2012年12月21日 16時50分 (#2294484) 日記

                オレオレ証明書を望む人にはこれが最適解だと思うが
                無償ユーザーにどこまでサービスするかという話

                仮に有償でそういうサービスがあったとしても、普通に認証局の鍵買ったほうが安い予感

                親コメント
        • by s02222 (20350) on 2012年12月19日 14時31分 (#2293101)
          sshとかそんな感じですよね>オレオレ証明書を適切に運用しよう。

          httpやらpopやらだとユーザ層も使い方も違うので、sshの良い感じのバランスをそのまま導入と言うわけには行かないんでしょうけど、 もうちょっと何とかして欲しい場面は多々あります。

          まあ、結局、そこまでして色んなプロトコルでSSLの導入を考えるぐらいなら、sshのポート転送やらSOCKSやらに乗っける方が楽なんですが。
          親コメント
        • by Anonymous Coward

          ニセモノも同じことを言うと思うけど……。

    • # ただのPOP3にするってのはできればナシの方向で。

      APOPで十分じゃない? どうせ、SMTPの段階では、一部を除いて暗号化されてないんだし。

      おうちサーバのメールをGMailからPOP3s取得させてるみたいな

      POP/STARTTLSはサポートしてるのかな?

      親コメント
      • by Anonymous Coward

        パスワードの安全性は?

      • by Anonymous Coward

        APOP はなりすましのサーバに接続してしまうとパスワードを見破られる脆弱性があるのでダメです。接続しているサーバが本物であることをSSLで確認すればいいのですが、いずれにしてもオレオレ証明書を使っているサーバに接続するのは危険という結論になります。

        参考資料: 脆弱性を報じる記事 [impress.co.jp]

    • by Anonymous Coward

      おうちサーバーなら Gmail に転送できないの?

  • by Anonymous Coward on 2012年12月19日 13時00分 (#2293019)

    自宅メールサーバー持ってないしSPAM撲滅が前進するので賛成

    • POP3の証明書が何だろうとSPAM撲滅には関係ないような気がしますが。
      親コメント
      • by Anonymous Coward on 2012年12月19日 14時19分 (#2293091)

        私がもしGoogleのSpamフィルタを開発していたらできるだけ得体の知れないメールサーバーは御免被りますね
        スパムフィルターに怪しげなメールデータを流し込まれたり、スパム判定されるかどうかの自動チェックみたいなサーバーを繋げられるかもしれないですよね
        証明書は簡単に取得できますが少しはハードルになるんじゃないですか?

        親コメント
        • by Anonymous Coward

          私がスパム業者だったらそんな面倒なことせずに直接Gmailアカウント宛にメール出して反応みますけど。
          私がもしGoogleのSpamフィルタを開発していたら受信拒否では無く、フェッチ経由のメールは
          スパムフィルタの学習をさせない設定にしたり閾値を下げる程度の対応にする。

  • by Anonymous Coward on 2012年12月19日 13時03分 (#2293024)

    ただ、それだけです。

  • by Anonymous Coward on 2012年12月19日 14時02分 (#2293079)

    オレオレ証明書だけ拒否ってもなんの意味があるのよ。

    • by Anonymous Coward

      今までなら無料のGoogle appsで自前のドメインつかってメール運用を考えてたような人が、gmailの強力なSPAMフィルタとUIを使う目的で自宅サーバ+GMailからのPOP3に行かずに毎月いくらのGoogle apps Biz.の客になってくれる、とか?

      • by Anonymous Coward

        オレオレ証明書などというバカげた悪習を排除できる

        • by Anonymous Coward

          サーバもクライアントも自前の場合には「バカげた悪習」でもなんでもないでしょ。
          MUAがおせっかい入れるようなところじゃないと思う。

        • by Anonymous Coward

          組織によってはPrivate CAというものもあってだな。
          今回のような部分では使わんけど、
          オレオレ=馬鹿げた悪習、というのはどうかと思う。

    • by Anonymous Coward

      数百円で、自分の所有していないドメインの証明書を発行してもらえるサービスをぜひ教えてください。
      ブラックリストに入れますので。

  • by Anonymous Coward on 2012年12月19日 23時49分 (#2293358)

    ネットの巨人、Google様が無料で証明書署名・発行しては?

    • by Anonymous Coward

      「この証明書の発行元は信頼できません」

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...