為「你」的電子郵件免費申請一張身份證

  首先,什麼是電子郵件憑證?這樣來說好了,如果你使用過y?hoo(對不起,因為早期y?hoo的垃圾信真的很多很多很多…)或公司本身架設的電子郵件,一定免不了要與垃圾信(Spam mail)來個大戰一下,而且久了,你一定收過一種信,居然是「自己發給自己」,寄件者是「自己」的電子郵件,見鬼了,這是什麼情況?這只是說明一件事,這些Spamer(垃圾信製造者)要偽造你的電子郵件來源是很容易的事。會那麼容易偽造的原因,簡單的說就是當初設計E-Mail沒有想那麼多,也因為如此也為世界的經濟注入了許多能量,一邊瘋狂的發信,一邊就想盡辦法的防。

  說點題外話,我認為目前全世界最有資格提出Anti-Spam產品的是Google,它們的Gmail真的是沒話說,從一開始是透過介紹信來加入,我就開始使用,使用這些年以來,收到的垃圾信件,不超過一支手的手指頭,而我使用過多家國際大廠的Anti-Spam方案,從早期的黑白名單、關鍵字…到最近的雲端不雲端,效果都沒有Gmail那麼的強,正確性高誤判率低。所以我認為目前世界上唯一有資格買Anti-Spam產品的只有Google,其他都是出來混口飯吃的。人家Google會成功,不是好就快點拿出來買,快點拿來收錢,真的是佛心級的在為使用者想,布袋戲名角色金刀獨眼龍說「一流的。」一流的人做一流的事。

  那有沒有什麼辦法可以解決這種偽造的問題?

  有的,這就是今天的主題電子郵件憑證。什麼是憑證,我們簡單想,我們每個人都有一張中華民國身份證,這張身份證能「證明」你的身份;如果你想出國,那就要申請一本護照,這本護照就是你在國際上的身份證,也是要拿來「證明」你的身份所使用。這張身份證或護照就是我們所謂的「憑證」。

  所以由這個方面來思考,如果我們能為我們發出去的電子郵件加上一個「身份證明」,證明這封Mail的的確確是由「我」本人發出(正確的說,是有我本人憑證的機器),這樣收件者就可以依這個憑證來了解這封信件是否是由你「真正」的本人所發出,來判斷是否要相信郵件內容。

  想像一個情況,我如果能偽造公司Boss的Email,然後發信給公司會計,請會計轉一筆帳到國外某某帳戶,如果這位會計不查的情況下就把錢轉出去…國外的錢是很難追的…那就好玩了。

憑證是需要付費的



Outlook Express 6
圖1:Outlook Express 6

  在Windows XP/Vista安裝完畢就立即可以使用的Outlook Express,你第一次打開Outlook Express會收到一封迎歡使用的郵件,信件內容裡有一段VeriSign的介紹,就是我們說的憑證部份,重點是,這些憑證都是需要「$.$」,錢、錢、錢,沒有錢免談。要一般大眾為了一個電子郵件來付費申請憑證,而且只是為了證明發信者是本人而已,相信不太可能有人願意付錢,而且這個憑證看你申請的日期長度,時間到了還要更重新申請一次,再付費一次,除非是錢太多,不然實在想不出來有什麼理由付費來申請使用。

免費電子郵件憑證



  那我們就來介紹一個好康的給大家,一個可免費申請的電子郵件憑證,夠佛心了吧。記的給這家佛心級的廠商掌聲和鼓勵。

寰宇數位認證中心:http://www.ssl.com.tw
在「產品介紹」找到「個人免費電子郵件憑證Free Secure Email Certificates」,點擊「簡介」。

寰宇數位產品介紹網頁
圖2:產品介紹網頁

「簡介」

寰宇數位簡介第一部分
圖3:簡介第一部分

  要注意的是這些憑證並無法直接在Web Mail上使用,所以你必須有支持S/MIME的電子郵件軟體才能將憑證附加到要發送出去的郵件上。一般XP/Vista作業系統都已經內含Outlook Express,所以你也不用擔心沒有實作的軟體。雖然以下實作是以Outlook + Gmail,但設定方式都大同小異,自己舉一反三應該不成問題才是。另外,圖片上支援的Thunderbird、Foxmail…許多都是免費的,所以就算你沒有Outlook還是一樣可以正常來實作沒有問題,不想用Outlook Express就自己上網找一套自己喜歡的。

寰宇數位簡介第二部分
圖4-1:簡介第二部分

寰宇數位簡介第二部分說明
圖4-2:簡介第二部分說明

有幾個部分要注意:
  • 1、 請使用有支持POP3的Email信箱
    簡單說,我們必須使用「電子郵件軟體」來將憑證加入電子郵件裡,而你最少必須要能使用POP3來將電子郵件軟體裡的電子郵件傳送出去,不然有什麼意義呢?
  • 2、 每一個Email「每年」只能申請一次
    申請一次免費憑證的有效期是一年,每一年要重新申請一次,而且同一個Email每年只能申請一次。所以申請完後,最後將憑證匯出保存到安全的地方,以免中毒、電腦掛點…等原因造成遺憾,如果憑證不見了,請再等一年。
  • 3、 免費+個人
    一開始就說的很清楚了,如果你要申請給公司裡的電子郵件使用應該也是可以(本人不負責任),只是憑證內容上不會出現公司行號的任何資料就是了。

  點擊「Free免費申請」。

寰宇數位申請憑證資料確認頁
圖5:申請憑證資料確認頁

  個人免費申請不用這部分的資料,所以請按「繼續申請」。

寰宇數位資料輸入申請頁
圖6:資料輸入申請頁

  雖然在簡介第二部分有條「申請人姓名可以是繁體中文、英文或中英文,以及其他語言。GlobalTrust不驗證姓名,但不得填寫公司名稱和組織。」但我測試的結果要全部輸入英文才能申請。輸入姓名資料、Email、密碼三項資料,確認無誤,然後按下「同意」,然後系統會自動將你申請的憑證資料寄送到你所申請的Email。

安裝憑證(建議使用IE)



  登入你所申請的Email:

Your certificate is ready for collection!
圖7:憑證安裝

  你會收到一封「Your certificate is ready for collection!」的郵件,安裝憑證的方法超級簡單,點擊畫面上「紅色區域」即可立即安裝

檢查憑證



  開啟IE → 工具 → 網際網路選項 → 內容 → 憑證

網際網路選項-內容
圖8:網際網路選項-內容

  你可以看到你申請的憑證,注意「到期日」只有一年有效期,

個人憑證
圖9:個人憑證


圖10:憑證資料

  確認沒有問題,記得要把憑證匯出,保存到其他安全的地方。

匯出憑證
圖11-1:匯出憑證


圖11-2:匯出憑證

匯出憑證
圖11-3:匯出憑證

匯出憑證
圖11-4:匯出憑證

  記的用強密碼來保護你的私密金鑰,私密金鑰被不肖人士取得就能破解你的加密。

匯出憑證
圖11-5:匯出憑證

匯出憑證
圖11-6:匯出憑證

匯出憑證
圖11-7:匯出憑證

匯出憑證成功訊息
圖11-8:匯出憑證成功訊息

Outlook 2003設定


工具 → 選項(O)

Outloot 工具-選項
圖12:Outloot 工具-選項

  → 安全性 → 先勾選「在外寄郵件加入數位簽章」→ 設定

Outlook 選項-安全性
圖13:Outlook 選項-安全性

  選擇你所申請的個人電子郵件憑證,

設定使用憑證
圖14:設定使用憑證

  這樣就完成Outlook與個人憑證的設定。試著發一封信,


圖15:發信測試

  記得我們有勾選「在外寄郵件加入數位簽章」,所以每一封你所發出的郵件都會加上數位簽章。

含個人數位憑證的郵件
圖16:含個人數位憑證的郵件

郵件憑證詳細訊息
圖17-1:郵件憑證詳細訊息

郵件憑證詳細訊息
圖17-2:郵件憑證詳細訊息


圖17-3:郵件憑證詳細訊息

  透過以上分享的方式,不管你使用什麼方式(POP3, IMAP…),只要能透過電子郵件軟體發送出去的Email都能加上我們個人的數位憑證。

讓Firefox與Gmail自動結合S/MIME憑證



  前述方式有個很大的缺點,就是你必須使用電子郵件軟體為中心,但像我已經很習慣使用Web Mail的方式,那可不可以使用Web Mail的方式來使用電子郵件憑證呢?

  答案是可以的,不然我幹嗎再寫這一段!(>.<””凌晨n點了)
  答案是使用Firefox加上Gmail。如果你非一般被MS帝國統治的人民,一定會愛上Firefox,Firefox上最最最棒的就是有千千萬萬的外掛可以使用,所以以下我們透過一個小小的外掛及簡單的設定讓我們透過Web的Gmail來寄信時,會自動加上我們剛剛申請的個人數位憑證,怎麼樣,是不是很Cool。

設定Firefox使用個人數位憑證

工具 → 選項 → 進階 Firefox進階
圖18:Firefox進階

  點選「檢視憑證清單(S)」

檢視憑證清單
圖19:檢視憑證清單

點擊「匯入」

選擇匯入檔案
圖20:選擇匯入檔案

記得我們在IE設定時有把憑證給匯出嗎?

  輸入密碼

輸入匯入檔案密碼
圖21:輸入匯入檔案密碼

  記得我們匯出時有設定一組密碼來保護檔案嗎?

匯入成功
圖22:匯入成功

個人數位憑證
圖23:個人數位憑證

Firefox Gmail S/MIME外掛



  Firefox匯入憑證後,一般的Web Mail並沒有讓我們設定使用S/MIME(即數位憑證)的地方。一開始我就說,Firefox最棒的就是有千萬的外掛,所以我們為Firefox加上一個Gmail S/MIME外掛後,Firefox的角色立即升級,可以把Firefox當成Outlook這樣的電子郵件軟體來看:

  Gmail S/MIME:https://addons.mozilla.org/zh-TW/firefox/addon/592

設定Gmail S/MIME



Gmail S/MIME設定
圖24:Gmail S/MIME設定

  預設是不自動使用憑證與加密。

Gmail撰寫郵件
圖25:Gmail撰寫郵件

  登入Web Gmail後,按下「撰寫郵件」,注意看工具列多出兩個圖示,第一個是要不要附加憑證,第二個是要不要加密訊息內容。

  有了憑證萬事OK,以前要花大錢才能玩的「玩意」,現在透過「寰宇數位」提供的這項的免費電子郵件憑證服務,讓我們也可以玩玩不一樣的東西。And你或許會說,我會架Windows Server的憑證中心,我跟自己的CA申請憑證就可以了,也可以玩呀!其中的差異在那裡?

  差異只有二個字:「信任」。

  你自行架設的CA一般是公司內部使用,不會被外面的其他人所「信任」(除非你花錢向如寰宇數位這種單位申請正式的憑證)。這就有點像俱樂部裡的VIP卡一樣,在特定時間特定地點能代表你的身分、地位、權力,但離開了俱樂部,這張卡只不過是張塑膠卡,什麼也不是。

  你可以試著把自行架設CA發出的憑證使用以上方式從IE匯出然後匯入Firefox,然後使用Gmail配合憑證,傳送一封信,然後用Outlook之類的軟體來收收看,你就會發現有什麼問題了。

  一個大X,哈~哈~哈~

  最後在Firefox裡登入Gmail,寄個測試簽名郵件,按下傳送鍵:

文字簽署要求
圖26:文字簽署要求

  使用Firefox那麼久,還不知道主控台有密碼,不知道=沒有=無=空白=確定,所以直接按「確定」鍵。

Gmail認證
圖27:Gmail認證

  這裡要輸入你登入Gmail的密碼,

Gmail寄送成功訊息
圖28:Gmail寄送成功訊息

  我寄了一封信給自己,

S/MIME在Web Mail裡的情況
圖28:S/MIME在Web Mail裡的情況

  怎麼看到S/MIME無法使用,另心急,我們再把打開Outlook看看,

S/MIME在Outlook裡的情況
圖29:S/MIME在Outlook裡的情況

  我們看到S/MIME信件在Outlook是正常的,原因很簡單,因為這些Web Mail還沒有俱備讀取分析S/MIME的能力,所以你在Web Mail會比較無法感受到S/MIME的威力。

  再來我們測試「加密」功能,加密功能是一個非常棒的功能,如果你的信件內容是包有機密資料,那你可以先將Email使用金鑰來加密,而收件者收到會後會使用金鑰來解密。(這方面的理論我就不多說了)

使用加密功能
圖30:使用加密功能

Gmail提供加密內容
圖31:Gmail提供加密內容

  我們從Gmail的訊息了解,這是一封包含加密內容的Email,點擊Link來顯示內容,

Gmail解密內容
圖32:Gmail解密內容

  再來我們看Outlook,

Outlook收加密郵件
圖33:Outlook收加密郵件

  Outlook無法在「讀取窗格」顯示加密內容,沒關係,我們直接在郵件上點兩下,

設定Firefox主控密碼
圖34:Outlook讀取加密內容

  因為加密的關係,Outlook無法直接讀取,但也因為是「重要」、「極密」的內容才需有動用到加密,加解密是需要動到額外的成本,平常沒有需要是不需要使用。

  以上完整介紹了Firefox + Gmail來應用S/MIME,但如果你有按步驟自己玩玩看的話,大概只有一點不方便,就是每發一次Mail「圖26:文字簽署要求」的畫面就會跳出來一次。而這個主控台密碼其實也是為了安全所設計的,你可以在「Firefox → 工具 → 選項 → 安全」

設定Firefox主控密碼
圖35:設定Firefox主控密碼

變更主控密碼
圖36:變更主控密碼

  這樣設定後可以多一層保障,就算有人可以使用你的電腦,開啟Firefox,而你又使用自動登入Gmail,但沒有主控密碼,此人也無法使用你的Gmail+S/MIME來傳送有憑證的郵件給任何人。

參考資料:

4 則留言:

  1. 您也是佛心來的,提供這麼詳盡的介紹,給你掌聲鼓勵,謝謝。

    回覆刪除
  2. 請使用IE6/7來申請,使用IE8以上會有問題。
    如果使用IE8,請使用「相容模式」。

    回覆刪除
  3. 請問自然人憑證、券商的交易憑證也可以做為數位簽章嗎?

    回覆刪除
  4. 自然人憑證,我知道是可以,你可以找一下 blog.miniasp.com ,有相關資訊。
    券商的交易憑證,這我就不清楚了。

    回覆刪除

感謝您的留言,如果我的文章你喜歡或對你有幫助,按個「讚」或「分享」它,我會很高興的。