メール受信時に「オレオレ証明書だ」って云われます。(w
多分3日ほど前から。2012/12/11(火) の午後、16:02 付けのメールは受信済み。 2012/12/12(水) 14:10 分は受信エラーです。
2012年12月の Microsoft Update (定例) で、KB931125 ( ルート証明書、Windows 7/Vista/XP ) が更新されていますが、何か関係あるでしょうか。
(図1)
pop3.live.com 受信時、SSL エラー。
(画像サイズ 63.47 KB)
↓証明書チェインの検証に失敗してます。
(図2)
直前の SSL 受信ステータスを表示すると Cert Chain not trusted 。 ( IPv4 アドレス: 65.55.162.199 で、TLSv1 使用。)
(画像サイズ 30.92 KB)
↓証明書自体に、問題はなさそうです。
(図3)
証明書チェイン。( Baltimore CyberTrust Root 配下に Microsoft Internet Authority 。中間証明書なし。)
(画像サイズ 28.04 KB)
↓証明書の拇印は "99 2a d4 4d 7d ce 29 8d e1 7e 6f 2f 56 a7 b9 ca a4 1d b9 3f" 。
(図4)
証明書の拇印。
(画像サイズ 64.69 KB)
↓とりあえず、一時的にこの証明書を信頼して、メールを受信してみます。( 受信後、「信頼リストから削除」します。 )
(図5)
Firefox 17.0.1 のダウンロード。
(画像サイズ 47.42 KB)
※ 画面では、「識別コード」 (証明書の拇印) が "992A D44D 7DCE 298D E17E 6F2F 56A7 B9CA A41D B93F" 。
これと、Web メールにログインして POP3 受信したものとで、内容を見比べてみますが、同じみたいです。
さて、次に、
dig pop3.live.com.
してみると、
(Snip);; ANSWER SECTION:
pop3.live.com. 2813 IN CNAME pop3.hot.glbdns.microsoft.com.
pop3.hot.glbdns.microsoft.com. 480 IN A 65.55.162.199
;; AUTHORITY SECTION:
glbdns.microsoft.com. 2514 IN NS glb2.glbdns.microsoft.com.
glbdns.microsoft.com. 2514 IN NS glb1.glbdns.microsoft.com.
;; ADDITIONAL SECTION:
glb2.glbdns.microsoft.com. 1685 IN A 65.55.117.2
glb1.glbdns.microsoft.com. 1685 IN A 204.79.195.7(Snip)
が返ってきます。ちゃんと、Authoritative answer に見えます。
受信サーバーが違うってわけではなさそうです。 DNS に毒入れされたとかでなければ。
※ pop3.hot.glbdns.microsoft.com. の A レコードは、時間と共に変わります。Round Robin してます?
これは自ら失効させた証明書を、自ら使用しているって状況になります。(w
そのうち pop3.live.com の証明書が差し替えされるのでしょう。しばらく様子見ですね。
(関連)
Microsoft http://technet.microsoft.com/en-us/library/cc751157.aspx
> Microsoft Root Certificate Program
Microsoft http://social.technet.microsoft.com/wiki/contents/articles/3281.introduction-to-the-microsoft-root-certificate-program.aspx
> Introduction-to-the-Microsoft-Root-Certificate-Program -
> TechNet Articles - United States (English) - TechNet Wiki
Microsoft http://social.technet.microsoft.com/wiki/contents/articles/14215.windows-and-windows-phone-8-ssl-root-certificate-program-member-cas.aspx
> Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs) -
> TechNet Articles - United States (English) - TechNet Wiki
Microsoft http://social.technet.microsoft.com/wiki/contents/articles/14219.windows-and-windows-phone-8-ssl-root-certificate-program-april-2012-u-z.aspx
> Windows and Windows Phone 8 SSL Root Certificate Program (April 2012), U-Z -
> TechNet Articles - United States (English) - TechNet Wiki
※ "Baltimore CyberTrust Root" は、"Verizon Business" が Current CA Owner 。
社団法人日本ネットワークインフォメーションセンター http://www.nic.ad.jp/ja/newsletter/No23/080.html
> インターネット10分講座●PKI
日本ベリサイン https://www.verisign.co.jp/ssl/help/faq/110132/index.html
> 各サーバ証明書の証明書チェーン ( 階層構造 ) について|FAQ|ヘルプデスク|サーバID|日本ベリサイン
いじょうです。
-
- -