<前の日記(2009年12月23日) 次の日記(2010年01月13日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1245   昨日: 3744

2009年12月30日

StartCom CAでコード署名用証明書を取得した

takagi-hiromitsu.jpでは、1年前から(2008年12月21日の日記)、StartCom CAの無料のDV (Domain Validation) SSLサーバ証明書を取得して、https:// ページを用意していた。その時点では、WindowsのルートCAストアにStartCom CAが含まれていなかったため、WindowsのInternet Explorerなどでは使えない状況だった。それが、今年になって、StartCom CAがWindowsのルートCAストアに組み込まれるようになったため、Internet Explorerなどでもこのサイトを https:// で閲覧できるようになった。*1

また、これにより、Windows用の.exeファイル等に対するコード署名「Microsoft Authenticode」に使える証明書を、StartCom CAから取得できるようになった。

StartComは、企業向けにEV証明書の提供もする一方で、個人向けに「Class 2」レベルのvalidationに基づく、コード署名用証明書を発行している。今回、Nyzillaをリリースするにあたり、この証明書の取得を試みた。

StartCom CAの「Class 2」validationでは、本人確認のために、パスポートの写しと免許証などの写しをアップロードして、それに基づいて送付されてくる書留郵便を受け取り、そこに記載された確認コードをWebサイトに入力するようになっていた。

パスポートには住所が書かれていないし(私の場合、本籍地に現住所と異なる都道府県が書かれているし)、免許証などは日本語表記になっているわけで、これで取得できるのだろうかと不安に思ったので、StartComに問い合わせたところ、解決するので送ってくれとの返事だった。

そして、12月18日にそれを送信したところ、その日のうちに書留郵便を送付したとの通知があった。この書留郵便が届いたのが12月29日で、思ったより時間を要した。StartComはイスラエルの会社で、イスラエル郵便局が記したヘブライ文字が見える。

写真
図1: StartCom CAからの書留郵便

StartCom CAでは、証明書の発行ではなくvalidationに対して課金するという方式になっており、一度validationすると1年近くの間*2有効で、何枚でも証明書の発行が受けられる*3ようだ。おそらく、validationの有効期限が切れると、再び同じ(料金と)方法でvalidationを必要とするのだろう。けっこう時間がかかるので注意を要する。

また、StartCom CAを利用する最初のステップは、startssl.comにアカウントを作成するところからだが、ここで使用するメールアドレスが、その後に取得する証明書のメール欄に書かれることになる(証明書の種類によっては)ようなので、初めから公開に適したメールアドレスを使うようにしないといけないようだ。

Nyzilla 1.0.1リリース

StartCom CAから取得したコード署名用証明書でインストーラに署名した*4、Nyzilla 1.0.1をリリースした。

1.0.1では以下の4点のバグ修正と機能改善を施している。

  • バグ修正: 「他のホスト」タブの「ホスト」列でポート番号まで表示されてしまうバグ(1.0リリース直前のエンバグ)を修正。
  • バグ修正: 待ち受け接続で接続をちゃんと切断できていなかったバグを修正。
  • 機能改善: 「保持の真偽」メニューを切り替えたときにその意味を説明するダイアログを追加。
  • 機能改善: コマンドライン引数にURLを渡すとそれを「閲覧サイト」として起動する機能を追加。

*1 ただし、この日記を https:// で閲覧すると、いわゆる「mixed content」となって、正常な https:// 閲覧の状態にならない。これは、この日記では、はてなブックマークの「○○○ users」の画像を http:// で埋め込んでいることが原因であり、はてながこの画像を https:// で提供してくれていない(https:// でアクセスすると奇妙なエラーになって接続できない)ため、この状況となっている。はてなが https:// での提供を開始してくれないならば、https:// でアクセスしたときにはこの画像を外すように、対策を施そうと思っているところ。Nyzilla配布ページでは、さきほど、そのように対策した。なお、Googleの「Browser Security Handbook」にあるように、ブラウザによって、mixed contentに対する挙動にばらつきがある。この件については、何が問題なのか、いずれ書きたい。

*2 Class 1 validationの有効期限とClass 2 validationの有効期限の短い方?

*3 複数のcommon nameが許される種類の証明書ならば。Class 2のコード署名用ではcommon nameが氏名なので1枚だけのもよう。

*4 現在のところ、タイムスタンプは付けていない。証明書の有効期限自体がまだ2年あって、Nyzillaは脆弱性対応期限を現在のところ1年後までと限定しており、それを延長する際には新バージョンをリリースする予定であるので、現在の版にタイムスタンプを付ける必要がない。

本日のTrackBacks(全64件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20091230]

結局記事見てたら気になったので。

Security関連

* SNS でのワーム拡散の危険は4.6%のユーザーにある!?
* 今時、SNSの友達の輪は信用性が薄いと思うんだけどね。まぁ、4.6%を多いと見るか少ないと見るかは微妙だけど。

検索

<前の日記(2009年12月23日) 次の日記(2010年01月13日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2009年12月23日) 次の日記(2010年01月13日)> 最新 編集