取締役 平社員 ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。  

 -無責管理

   当ページ記事により不具合、問題が発生した場合でも責任をもちません。


   情報セキュリティ系勉強会ポータルサイト  

  セキュリティ・キャンプ  (セキュリティ・キャンプ実施協議会)   Firefox ブラウザ無料ダウンロード 



pop3.live.com 受信不可 - SSL エラー

コンピュータ

SSL 証明書の拒否





メール受信時に「オレオレ証明書だ」って云われます。(w


多分3日ほど前から。2012/12/11(火) の午後、16:02 付けのメールは受信済み。 2012/12/12(水) 14:10 分は受信エラーです。


2012年12月の Microsoft Update (定例) で、KB931125 ( ルート証明書Windows 7/Vista/XP ) が更新されていますが、何か関係あるでしょうか。



(図1)

pop3.live.com 受信時、SSL エラー。
pop3.live.com 受信時、SSL エラー。
(画像サイズ 63.47 KB)



↓証明書チェインの検証に失敗してます。

(図2)

直前の SSL 受信ステータスを表示すると Cert Chain not trusted。 ( IPv4 アドレス:65.55.162.199 で、TLSv1 使用。)
直前の SSL 受信ステータスを表示すると Cert Chain not trusted 。 ( IPv4 アドレス: 65.55.162.199 で、TLSv1 使用。)
(画像サイズ 30.92 KB)



↓証明書自体に、問題はなさそうです。

(図3)

証明書チェイン。( Baltimore CyberTrust Root 配下に Microsoft Internet Authority 。中間証明書なし。)
証明書チェイン。( Baltimore CyberTrust Root 配下に Microsoft Internet Authority 。中間証明書なし。)
(画像サイズ 28.04 KB)



↓証明書の拇印は "99 2a d4 4d 7d ce 29 8d e1 7e 6f 2f 56 a7 b9 ca a4 1d b9 3f" 。

(図4)

証明書の拇印。
証明書の拇印。
(画像サイズ 64.69 KB)



↓とりあえず、一時的にこの証明書を信頼して、メールを受信してみます。( 受信後、「信頼リストから削除」します。 )

(図5)

Firefox 17.0.1 のダウンロード。
Firefox 17.0.1 のダウンロード。
(画像サイズ 47.42 KB)

※ 画面では、「識別コード」 (証明書の拇印) が "992A D44D 7DCE 298D E17E 6F2F 56A7 B9CA A41D B93F" 。




これと、Web メールにログインして POP3 受信したものとで、内容を見比べてみますが、同じみたいです。



さて、次に、



	dig pop3.live.com.

してみると、



	(Snip)
	;; ANSWER SECTION:

	pop3.live.com.          2813    IN      CNAME   pop3.hot.glbdns.microsoft.com.

	pop3.hot.glbdns.microsoft.com. 480 IN   A       65.55.162.199

	

	;; AUTHORITY SECTION:

	glbdns.microsoft.com.   2514    IN      NS      glb2.glbdns.microsoft.com.

	glbdns.microsoft.com.   2514    IN      NS      glb1.glbdns.microsoft.com.

	

	;; ADDITIONAL SECTION:

	glb2.glbdns.microsoft.com. 1685 IN      A       65.55.117.2

	glb1.glbdns.microsoft.com. 1685 IN      A       204.79.195.7
	(Snip)

が返ってきます。ちゃんと、Authoritative answer に見えます。


受信サーバーが違うってわけではなさそうです。 DNS に毒入れされたとかでなければ。

pop3.hot.glbdns.microsoft.com. の A レコードは、時間と共に変わります。Round Robin してます?



これは自ら失効させた証明書を、自ら使用しているって状況になります。(w


そのうち pop3.live.com の証明書が差し替えされるのでしょう。しばらく様子見ですね。




(関連)

Microsoft http://technet.microsoft.com/en-us/library/cc751157.aspx
> Microsoft Root Certificate Program


Microsoft http://social.technet.microsoft.com/wiki/contents/articles/3281.introduction-to-the-microsoft-root-certificate-program.aspx
> Introduction-to-the-Microsoft-Root-Certificate-Program -
> TechNet Articles - United States (English) - TechNet Wiki


Microsoft http://social.technet.microsoft.com/wiki/contents/articles/14215.windows-and-windows-phone-8-ssl-root-certificate-program-member-cas.aspx
> Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs) -
> TechNet Articles - United States (English) - TechNet Wiki


Microsoft http://social.technet.microsoft.com/wiki/contents/articles/14219.windows-and-windows-phone-8-ssl-root-certificate-program-april-2012-u-z.aspx
> Windows and Windows Phone 8 SSL Root Certificate Program (April 2012), U-Z -
> TechNet Articles - United States (English) - TechNet Wiki

※ "Baltimore CyberTrust Root" は、"Verizon Business" が Current CA Owner 。



社団法人日本ネットワークインフォメーションセンター http://www.nic.ad.jp/ja/newsletter/No23/080.html
> インターネット10分講座●PKI


日本ベリサイン https://www.verisign.co.jp/ssl/help/faq/110132/index.html
> 各サーバ証明書の証明書チェーン ( 階層構造 ) について|FAQ|ヘルプデスク|サーバID|日本ベリサイン



いじょうです。

    • -