高木浩光＠自宅の日記

■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に

• APOP（エーポップ）方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について, IPA, 2007年4月19日

  回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。

というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。

大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。

図1: Becky!の設定画面にある「証明書を検証しない」のチェックボックス

この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。（パスワードは偽サーバによって復号ないし解読され得る。）

ここはデフォルトではオフ（証明書を検証する）なのだが、例によって例のごとく、このチェックを入れろと指示するサイトがたくさんある。

以下、インターネット接続プロバイダやレンタルサーバ屋が提供しているPOPサービスにおける、POP over SSL対応でのオレオレ証明書使用状況について、ざっと調べてみた。

• さくらインターネット — SSL/TLSを用いたメールの送受信について

  「さくらのレンタルサーバ」ではメールサーバ(SMTP,POP)への接続にSSL/TLSを用いることが可能となっておりますが、現在SSL証明を発行しておりません。

  このため使用するメールソフトにより暗号化通信に関するメッセージが送受信時に表示されますが、メール本文はSSLを使用し暗号化されたものとなっております。（略）

  「ツール」−「メールボックスの設定」−「詳細」タブにおいて、"SSL/TLS関連" の "証明書を検証しない"をチェックします。

• EditNet — メールサーバ(SMTPS，SMTP認証など)の使い方について

  (3)「詳細」のタブを開き，次の設定を行う
  ●「SSL／TLS関連」の「送信用」は「デフォルト」，「証明書を検証しない」をチェックする 　　→弊社の証明書は自己署名のため，「証明書を検証しない」を選択します．それでも暗号化には問題ありません．（略）

  ●弊社では，当面「自己署名」の証明書で運用する予定です．そのため，「証明書を検証できない」という警告が出ることがありますが，暗号化はされていますのでご安心ください．（ご利用状況によって証明書を購入したいと思います．）

• プレミアエクスビットレンタルサーバ — Becky!の設定（SSLで暗号化してメールを送信したい場合）

  ３．「証明書を検証しない」にチェックがついていることを確認

• カモシカジェイピー — よくある質問

  PopOverSSLへは対応していますか？

  はい、非公式ですが対応しております。非公式と申し上げるのは、証明書の名称が当www.kamosica.jpであり、ユーザ様のPopとドメインが異なってしまうため、「証明書が異なります」等の警告やエラーが出てしまうためで、ある程度の技術と理解をお持ちのユーザ様でないと、問い合わせが頻発する可能性があるため、明記は控えております。現状としましては、Becky! ver2.2.52において、「証明書を検証しない」という設定で、PopOverSSLが使用できることが確認済です。また、 OutlookExpress 6(Windows xp sp2 6.00.2900.2180)でも、一旦警告が出ますが、それ以後は使えるようです。

• SPPDレンタルサーバー — Becky! Ver2 設定方法 (ステップ2/2)

  「詳細」タブをクリックし、左上の「サーバーのポート番号」のPOP3の値を「995」と入力します。次に、その下「SSL/TSL関連」受信用を「デフォルト」に再選択すると「SSL/TSLを有効にしますか？」と表示されますので「はい」をクリックします。最後に「証明書を検証しない」にチェックマークを付けてPOP over SSL設定は完了です。

• PSインターネットサービス — セキュリティの警告について

  POP3S もしくは SMTPS の暗号化通信を行う場合、下記のようなセキュリティの警告画面が表示されることがあります。これは、サーバの証明書を PSN が自分自身で署名して発行したためです。

  この警告が表示されても問題ありません。暗号化通信可能ですので操作を続行してください。尚、この警告を出さない設定も可能ですので information係までご連絡ください。（略）

  この警告が表示されたときは、「ツール」メニューの「メールボックスの設定」の「詳細」の「SSL/TSLの証明書を検証しない」のチェックマークを入れてください。

• 沖縄ケーブルネットワーク — 高セキュリティメール受信設定

  SSL/TSL関連の「証明書を検証しない」にチェック

• XREA.COM — メンテナンス情報：サーバーソフトウェア

  クライアントPCとXREAサーバーとの間のメール通信をSSL経由で暗号化する機能（POP over SSL/IMAP over SSL/SMTP over SSL）、および、送信時にユーザー認証を行うSMTP-AUTH（CRAM-MD5/LOGIN/PLAIN）に正式対応いたしました。（略）

  ・SSL証明書のチェックを行わない設定にしてください。
  OUTLOOKの場合は、最初の認証時に表示されるエラーを無視して、OKを押してください。
  Becky!の場合は、「メールボックスの設定」の「詳細」で「証明書を検証しない」にチェックを入れてください。

この問題は以前から気になってはいたが、どうせ指摘しても「メールは元々盗聴可能ですから」という返事が来ると予想されるので言う気がしなかった。しかし、パスワードを守る目的でAPOPが必要とされていた環境において、今後、オレオレでないPOP over SSLの需要が高まるだろう。

それにしても、上のオレオレ事業者たちは、なぜ普通にサーバ証明書を買わないのだろうか？*2