2009年12月30日
■ StartCom CAでコード署名用証明書を取得した
takagi-hiromitsu.jpでは、1年前から(2008年12月21日の日記)、StartCom CAの無料のDV (Domain Validation) SSLサーバ証明書を取得して、https:// ページを用意していた。その時点では、WindowsのルートCAストアにStartCom CAが含まれていなかったため、WindowsのInternet Explorerなどでは使えない状況だった。それが、今年になって、StartCom CAがWindowsのルートCAストアに組み込まれるようになったため、Internet Explorerなどでもこのサイトを https:// で閲覧できるようになった。*1
- Microsoft Adds Support for StartCom Certificates, Linux Today, 2009年9月25日
また、これにより、Windows用の.exeファイル等に対するコード署名「Microsoft Authenticode」に使える証明書を、StartCom CAから取得できるようになった。
StartComは、企業向けにEV証明書の提供もする一方で、個人向けに「Class 2」レベルのvalidationに基づく、コード署名用証明書を発行している。今回、Nyzillaをリリースするにあたり、この証明書の取得を試みた。
StartCom CAの「Class 2」validationでは、本人確認のために、パスポートの写しと免許証などの写しをアップロードして、それに基づいて送付されてくる書留郵便を受け取り、そこに記載された確認コードをWebサイトに入力するようになっていた。
パスポートには住所が書かれていないし(私の場合、本籍地に現住所と異なる都道府県が書かれているし)、免許証などは日本語表記になっているわけで、これで取得できるのだろうかと不安に思ったので、StartComに問い合わせたところ、解決するので送ってくれとの返事だった。
そして、12月18日にそれを送信したところ、その日のうちに書留郵便を送付したとの通知があった。この書留郵便が届いたのが12月29日で、思ったより時間を要した。StartComはイスラエルの会社で、イスラエル郵便局が記したヘブライ文字が見える。
StartCom CAでは、証明書の発行ではなくvalidationに対して課金するという方式になっており、一度validationすると1年近くの間*2有効で、何枚でも証明書の発行が受けられる*3ようだ。おそらく、validationの有効期限が切れると、再び同じ(料金と)方法でvalidationを必要とするのだろう。けっこう時間がかかるので注意を要する。
また、StartCom CAを利用する最初のステップは、startssl.comにアカウントを作成するところからだが、ここで使用するメールアドレスが、その後に取得する証明書のメール欄に書かれることになる(証明書の種類によっては)ようなので、初めから公開に適したメールアドレスを使うようにしないといけないようだ。
■ Nyzilla 1.0.1リリース
StartCom CAから取得したコード署名用証明書でインストーラに署名した*4、Nyzilla 1.0.1をリリースした。
1.0.1では以下の4点のバグ修正と機能改善を施している。
- バグ修正: 「他のホスト」タブの「ホスト」列でポート番号まで表示されてしまうバグ(1.0リリース直前のエンバグ)を修正。
- バグ修正: 待ち受け接続で接続をちゃんと切断できていなかったバグを修正。
- 機能改善: 「保持の真偽」メニューを切り替えたときにその意味を説明するダイアログを追加。
- 機能改善: コマンドライン引数にURLを渡すとそれを「閲覧サイト」として起動する機能を追加。
*1 ただし、この日記を https:// で閲覧すると、いわゆる「mixed content」となって、正常な https:// 閲覧の状態にならない。これは、この日記では、はてなブックマークの「○○○ users」の画像を http:// で埋め込んでいることが原因であり、はてながこの画像を https:// で提供してくれていない(https:// でアクセスすると奇妙なエラーになって接続できない)ため、この状況となっている。はてなが https:// での提供を開始してくれないならば、https:// でアクセスしたときにはこの画像を外すように、対策を施そうと思っているところ。Nyzilla配布ページでは、さきほど、そのように対策した。なお、Googleの「Browser Security Handbook」にあるように、ブラウザによって、mixed contentに対する挙動にばらつきがある。この件については、何が問題なのか、いずれ書きたい。
*2 Class 1 validationの有効期限とClass 2 validationの有効期限の短い方?
*3 複数のcommon nameが許される種類の証明書ならば。Class 2のコード署名用ではcommon nameが氏名なので1枚だけのもよう。
*4 現在のところ、タイムスタンプは付けていない。証明書の有効期限自体がまだ2年あって、Nyzillaは脆弱性対応期限を現在のところ1年後までと限定しており、それを延長する際には新バージョンをリリースする予定であるので、現在の版にタイムスタンプを付ける必要がない。
結局記事見てたら気になったので。
Security関連
* SNS でのワーム拡散の危険は4.6%のユーザーにある!?
* 今時、SNSの友達の輪は信用性が薄いと思うんだけどね。まぁ、4.6%を多いと見るか少ないと見るかは微妙だけど。
- https://www.google.com ×4 (2016-06-01)
- 2ちゃんねる掲示板 [mysv 1286532904] ×9 : 3, 2, 1, 1, 1, 1 (2016-03-22)
- スラドarticle [15/11/18/0610220] ×21 (2015-11-18)
- https://www.google.co.jp ×41 (2015-08-20)
- http://twitmatome.bogus.jp/archives/19605 ×23 (2014-01-24)
- http://www.bravica.mobi/ru/ ×62 (2013-08-13)
- http://www.bravica.ch/ru/ ×8 (2013-08-13)
- http://sovetogorod.ru/ovosh_pomidor_virashivanie.html ×6 (2013-08-11)
- http://na-znakomstva.ru/dating_4.php ×11 (2013-07-25)
- http://sovetogorod.ru/cveti_astilb_sorta.html ×4 (2013-07-20)
- ココログ [kjunichi cocolog] ×20 (2013-01-11)
- スラッシュドットarticle [12/03/12/0014216] ×329 : 247, 76, 3, 1, 1, 1 (2012-03-14)
- はてなブックマークコメント ×207 : 176, 20, 11 (2012-03-10)
- http://lab.mitty.jp/trac/lab/ticket/59 ×9 (2011-07-29)
- http://www.midgen.asia/73.html ×4 (2011-01-19)
- はてなキーワード [エンバグ] ×6 (2010-02-10)
- http://on-o.com/page/diary/20100104.html ×31 (2010-01-12)
- はてなブックマークコメント [takagi-hiromitsu.jp/Nyzilla/] ×4 (2010-01-10)
- はてなダイアリー [NyaRuRu 20091214] ×6 : 5, 1 (2010-01-06)
- セキュリティホールmemo ×473 : 418, 38, 13, 3, 1 (2010-01-05)
- はてなダイアリー [NyaRuRu] ×13 (2010-01-03)
- StartCom ×130 / startcom ×115 / コード署名 ×28 / startssl ie ×18 / キーワード不明 ×12 / コード署名 無料 ×10 / StartCOM ×9 / startcom ssl ×8 / コード署名証明書 ×8 / StartCom CA ×8 / Startcom ×6 / StartSSL IE ×6 / StartCom Certification Authority ×6 / StartSSL Class 2 ×5 / startcom 証明書 ×5 / startssl IE ×4 / nyzilla 閲覧サイト ×4 / startssl 延長 ×4 / StartCom SSL ×4 / startcom 期限 ×3 / startcom ca ×3 / startssl class2 ×3 / 署名用証明書 ×3 / コード署名とは ×3 / startcom authenticode ×2 / Nyzilla 1.0 ×2 / startssl 住所 ×2 / StartCom IE ×2 / startssl 接続できない ×2 / コード署名 料金 ×2 / StartCom CAでコード署名用証明書を取得した ×2 / 高木浩光 証明書 ×2 / 高木浩光 Nyzilla ssl ×2 / startssl takagi ×2 / dv証明書 サーバ証明書 ×2 / StartCom ssl ×2 / StartCom StartSSL ×2 / STARTCOM ×2 / 高木浩光 コード署名 ×2 / startssl.com ×2 / SSL エラー タイムスタンプ ×2 / 証明書 コード署名 ×2 / Startcom ca ×2 / StartSSL Class2 ×2 / startcom ie ×2 / 高木 署名 ×2 / startcom 無料 ×2 / startcom IE ×2 / リリース署名 ×2 / StartCom CA SSL ×2 / startssl class2 証明書インストール ×2 / コードサイン証明書 ×2 / StartCom 証明書 ×2 / ssl startcom ×2 / StartCom 無料 SSL ×2 / startssl 高木 ×2 / CA Common Name ×2