說點題外話,我認為目前全世界最有資格提出Anti-Spam產品的是Google,它們的Gmail真的是沒話說,從一開始是透過介紹信來加入,我就開始使用,使用這些年以來,收到的垃圾信件,不超過一支手的手指頭,而我使用過多家國際大廠的Anti-Spam方案,從早期的黑白名單、關鍵字…到最近的雲端不雲端,效果都沒有Gmail那麼的強,正確性高誤判率低。所以我認為目前世界上唯一有資格買Anti-Spam產品的只有Google,其他都是出來混口飯吃的。人家Google會成功,不是好就快點拿出來買,快點拿來收錢,真的是佛心級的在為使用者想,布袋戲名角色金刀獨眼龍說「一流的。」一流的人做一流的事。
那有沒有什麼辦法可以解決這種偽造的問題?
有的,這就是今天的主題電子郵件憑證。什麼是憑證,我們簡單想,我們每個人都有一張中華民國身份證,這張身份證能「證明」你的身份;如果你想出國,那就要申請一本護照,這本護照就是你在國際上的身份證,也是要拿來「證明」你的身份所使用。這張身份證或護照就是我們所謂的「憑證」。
所以由這個方面來思考,如果我們能為我們發出去的電子郵件加上一個「身份證明」,證明這封Mail的的確確是由「我」本人發出(正確的說,是有我本人憑證的機器),這樣收件者就可以依這個憑證來了解這封信件是否是由你「真正」的本人所發出,來判斷是否要相信郵件內容。
想像一個情況,我如果能偽造公司Boss的Email,然後發信給公司會計,請會計轉一筆帳到國外某某帳戶,如果這位會計不查的情況下就把錢轉出去…國外的錢是很難追的…那就好玩了。
憑證是需要付費的
圖1:Outlook Express 6
在Windows XP/Vista安裝完畢就立即可以使用的Outlook Express,你第一次打開Outlook Express會收到一封迎歡使用的郵件,信件內容裡有一段VeriSign的介紹,就是我們說的憑證部份,重點是,這些憑證都是需要「$.$」,錢、錢、錢,沒有錢免談。要一般大眾為了一個電子郵件來付費申請憑證,而且只是為了證明發信者是本人而已,相信不太可能有人願意付錢,而且這個憑證看你申請的日期長度,時間到了還要更重新申請一次,再付費一次,除非是錢太多,不然實在想不出來有什麼理由付費來申請使用。
免費電子郵件憑證
那我們就來介紹一個好康的給大家,一個可免費申請的電子郵件憑證,夠佛心了吧。記的給這家佛心級的廠商掌聲和鼓勵。
寰宇數位認證中心:http://www.ssl.com.tw
在「產品介紹」找到「個人免費電子郵件憑證Free Secure Email Certificates」,點擊「簡介」。
圖2:產品介紹網頁
「簡介」
圖3:簡介第一部分
要注意的是這些憑證並無法直接在Web Mail上使用,所以你必須有支持S/MIME的電子郵件軟體才能將憑證附加到要發送出去的郵件上。一般XP/Vista作業系統都已經內含Outlook Express,所以你也不用擔心沒有實作的軟體。雖然以下實作是以Outlook + Gmail,但設定方式都大同小異,自己舉一反三應該不成問題才是。另外,圖片上支援的Thunderbird、Foxmail…許多都是免費的,所以就算你沒有Outlook還是一樣可以正常來實作沒有問題,不想用Outlook Express就自己上網找一套自己喜歡的。
圖4-1:簡介第二部分
圖4-2:簡介第二部分說明
有幾個部分要注意:
- 1、 請使用有支持POP3的Email信箱
簡單說,我們必須使用「電子郵件軟體」來將憑證加入電子郵件裡,而你最少必須要能使用POP3來將電子郵件軟體裡的電子郵件傳送出去,不然有什麼意義呢? - 2、 每一個Email「每年」只能申請一次
申請一次免費憑證的有效期是一年,每一年要重新申請一次,而且同一個Email每年只能申請一次。所以申請完後,最後將憑證匯出保存到安全的地方,以免中毒、電腦掛點…等原因造成遺憾,如果憑證不見了,請再等一年。 - 3、 免費+個人
一開始就說的很清楚了,如果你要申請給公司裡的電子郵件使用應該也是可以(本人不負責任),只是憑證內容上不會出現公司行號的任何資料就是了。
點擊「Free免費申請」。
圖5:申請憑證資料確認頁
個人免費申請不用這部分的資料,所以請按「繼續申請」。
圖6:資料輸入申請頁
雖然在簡介第二部分有條「申請人姓名可以是繁體中文、英文或中英文,以及其他語言。GlobalTrust不驗證姓名,但不得填寫公司名稱和組織。」但我測試的結果要全部輸入英文才能申請。輸入姓名資料、Email、密碼三項資料,確認無誤,然後按下「同意」,然後系統會自動將你申請的憑證資料寄送到你所申請的Email。
安裝憑證(建議使用IE)
登入你所申請的Email:
圖7:憑證安裝
你會收到一封「Your certificate is ready for collection!」的郵件,安裝憑證的方法超級簡單,點擊畫面上「紅色區域」即可立即安裝。
檢查憑證
開啟IE → 工具 → 網際網路選項 → 內容 → 憑證
圖8:網際網路選項-內容
你可以看到你申請的憑證,注意「到期日」只有一年有效期,
圖9:個人憑證
圖10:憑證資料
確認沒有問題,記得要把憑證匯出,保存到其他安全的地方。
圖11-1:匯出憑證
圖11-2:匯出憑證
圖11-3:匯出憑證
圖11-4:匯出憑證
記的用強密碼來保護你的私密金鑰,私密金鑰被不肖人士取得就能破解你的加密。
圖11-5:匯出憑證
圖11-6:匯出憑證
圖11-7:匯出憑證
圖11-8:匯出憑證成功訊息
Outlook 2003設定
工具 → 選項(O)
圖12:Outloot 工具-選項
→ 安全性 → 先勾選「在外寄郵件加入數位簽章」→ 設定
圖13:Outlook 選項-安全性
選擇你所申請的個人電子郵件憑證,
圖14:設定使用憑證
這樣就完成Outlook與個人憑證的設定。試著發一封信,
圖15:發信測試
記得我們有勾選「在外寄郵件加入數位簽章」,所以每一封你所發出的郵件都會加上數位簽章。
圖16:含個人數位憑證的郵件
圖17-1:郵件憑證詳細訊息
圖17-2:郵件憑證詳細訊息
圖17-3:郵件憑證詳細訊息
透過以上分享的方式,不管你使用什麼方式(POP3, IMAP…),只要能透過電子郵件軟體發送出去的Email都能加上我們個人的數位憑證。
讓Firefox與Gmail自動結合S/MIME憑證
前述方式有個很大的缺點,就是你必須使用電子郵件軟體為中心,但像我已經很習慣使用Web Mail的方式,那可不可以使用Web Mail的方式來使用電子郵件憑證呢?
答案是可以的,不然我幹嗎再寫這一段!(>.<””凌晨n點了)
答案是使用Firefox加上Gmail。如果你非一般被MS帝國統治的人民,一定會愛上Firefox,Firefox上最最最棒的就是有千千萬萬的外掛可以使用,所以以下我們透過一個小小的外掛及簡單的設定讓我們透過Web的Gmail來寄信時,會自動加上我們剛剛申請的個人數位憑證,怎麼樣,是不是很Cool。
設定Firefox使用個人數位憑證
工具 → 選項 → 進階
點選「檢視憑證清單(S)」
點擊「匯入」
記得我們在IE設定時有把憑證給匯出嗎?
輸入密碼
記得我們匯出時有設定一組密碼來保護檔案嗎?
Firefox匯入憑證後,一般的Web Mail並沒有讓我們設定使用S/MIME(即數位憑證)的地方。一開始我就說,Firefox最棒的就是有千萬的外掛,所以我們為Firefox加上一個Gmail S/MIME外掛後,Firefox的角色立即升級,可以把Firefox當成Outlook這樣的電子郵件軟體來看:
Gmail S/MIME:https://addons.mozilla.org/zh-TW/firefox/addon/592
預設是不自動使用憑證與加密。
登入Web Gmail後,按下「撰寫郵件」,注意看工具列多出兩個圖示,第一個是要不要附加憑證,第二個是要不要加密訊息內容。
有了憑證萬事OK,以前要花大錢才能玩的「玩意」,現在透過「寰宇數位」提供的這項的免費電子郵件憑證服務,讓我們也可以玩玩不一樣的東西。And你或許會說,我會架Windows Server的憑證中心,我跟自己的CA申請憑證就可以了,也可以玩呀!其中的差異在那裡?
差異只有二個字:「信任」。
你自行架設的CA一般是公司內部使用,不會被外面的其他人所「信任」(除非你花錢向如寰宇數位這種單位申請正式的憑證)。這就有點像俱樂部裡的VIP卡一樣,在特定時間特定地點能代表你的身分、地位、權力,但離開了俱樂部,這張卡只不過是張塑膠卡,什麼也不是。
你可以試著把自行架設CA發出的憑證使用以上方式從IE匯出然後匯入Firefox,然後使用Gmail配合憑證,傳送一封信,然後用Outlook之類的軟體來收收看,你就會發現有什麼問題了。
一個大X,哈~哈~哈~
最後在Firefox裡登入Gmail,寄個測試簽名郵件,按下傳送鍵:
使用Firefox那麼久,還不知道主控台有密碼,不知道=沒有=無=空白=確定,所以直接按「確定」鍵。
這裡要輸入你登入Gmail的密碼,
我寄了一封信給自己,
怎麼看到S/MIME無法使用,另心急,我們再把打開Outlook看看,
我們看到S/MIME信件在Outlook是正常的,原因很簡單,因為這些Web Mail還沒有俱備讀取分析S/MIME的能力,所以你在Web Mail會比較無法感受到S/MIME的威力。
再來我們測試「加密」功能,加密功能是一個非常棒的功能,如果你的信件內容是包有機密資料,那你可以先將Email使用金鑰來加密,而收件者收到會後會使用金鑰來解密。(這方面的理論我就不多說了)
我們從Gmail的訊息了解,這是一封包含加密內容的Email,點擊Link來顯示內容,
再來我們看Outlook,
Outlook無法在「讀取窗格」顯示加密內容,沒關係,我們直接在郵件上點兩下,
因為加密的關係,Outlook無法直接讀取,但也因為是「重要」、「極密」的內容才需有動用到加密,加解密是需要動到額外的成本,平常沒有需要是不需要使用。
以上完整介紹了Firefox + Gmail來應用S/MIME,但如果你有按步驟自己玩玩看的話,大概只有一點不方便,就是每發一次Mail「圖26:文字簽署要求」的畫面就會跳出來一次。而這個主控台密碼其實也是為了安全所設計的,你可以在「Firefox → 工具 → 選項 → 安全」
這樣設定後可以多一層保障,就算有人可以使用你的電腦,開啟Firefox,而你又使用自動登入Gmail,但沒有主控密碼,此人也無法使用你的Gmail+S/MIME來傳送有憑證的郵件給任何人。
參考資料:
圖18:Firefox進階
點選「檢視憑證清單(S)」
圖19:檢視憑證清單
點擊「匯入」
圖20:選擇匯入檔案
記得我們在IE設定時有把憑證給匯出嗎?
輸入密碼
圖21:輸入匯入檔案密碼
記得我們匯出時有設定一組密碼來保護檔案嗎?
圖22:匯入成功
圖23:個人數位憑證
Firefox Gmail S/MIME外掛
Firefox匯入憑證後,一般的Web Mail並沒有讓我們設定使用S/MIME(即數位憑證)的地方。一開始我就說,Firefox最棒的就是有千萬的外掛,所以我們為Firefox加上一個Gmail S/MIME外掛後,Firefox的角色立即升級,可以把Firefox當成Outlook這樣的電子郵件軟體來看:
Gmail S/MIME:https://addons.mozilla.org/zh-TW/firefox/addon/592
設定Gmail S/MIME
圖24:Gmail S/MIME設定
預設是不自動使用憑證與加密。
圖25:Gmail撰寫郵件
登入Web Gmail後,按下「撰寫郵件」,注意看工具列多出兩個圖示,第一個是要不要附加憑證,第二個是要不要加密訊息內容。
有了憑證萬事OK,以前要花大錢才能玩的「玩意」,現在透過「寰宇數位」提供的這項的免費電子郵件憑證服務,讓我們也可以玩玩不一樣的東西。And你或許會說,我會架Windows Server的憑證中心,我跟自己的CA申請憑證就可以了,也可以玩呀!其中的差異在那裡?
差異只有二個字:「信任」。
你自行架設的CA一般是公司內部使用,不會被外面的其他人所「信任」(除非你花錢向如寰宇數位這種單位申請正式的憑證)。這就有點像俱樂部裡的VIP卡一樣,在特定時間特定地點能代表你的身分、地位、權力,但離開了俱樂部,這張卡只不過是張塑膠卡,什麼也不是。
你可以試著把自行架設CA發出的憑證使用以上方式從IE匯出然後匯入Firefox,然後使用Gmail配合憑證,傳送一封信,然後用Outlook之類的軟體來收收看,你就會發現有什麼問題了。
一個大X,哈~哈~哈~
最後在Firefox裡登入Gmail,寄個測試簽名郵件,按下傳送鍵:
圖26:文字簽署要求
使用Firefox那麼久,還不知道主控台有密碼,不知道=沒有=無=空白=確定,所以直接按「確定」鍵。
圖27:Gmail認證
這裡要輸入你登入Gmail的密碼,
圖28:Gmail寄送成功訊息
我寄了一封信給自己,
圖28:S/MIME在Web Mail裡的情況
怎麼看到S/MIME無法使用,另心急,我們再把打開Outlook看看,
圖29:S/MIME在Outlook裡的情況
我們看到S/MIME信件在Outlook是正常的,原因很簡單,因為這些Web Mail還沒有俱備讀取分析S/MIME的能力,所以你在Web Mail會比較無法感受到S/MIME的威力。
再來我們測試「加密」功能,加密功能是一個非常棒的功能,如果你的信件內容是包有機密資料,那你可以先將Email使用金鑰來加密,而收件者收到會後會使用金鑰來解密。(這方面的理論我就不多說了)
圖30:使用加密功能
圖31:Gmail提供加密內容
我們從Gmail的訊息了解,這是一封包含加密內容的Email,點擊Link來顯示內容,
圖32:Gmail解密內容
再來我們看Outlook,
圖33:Outlook收加密郵件
Outlook無法在「讀取窗格」顯示加密內容,沒關係,我們直接在郵件上點兩下,
圖34:Outlook讀取加密內容
因為加密的關係,Outlook無法直接讀取,但也因為是「重要」、「極密」的內容才需有動用到加密,加解密是需要動到額外的成本,平常沒有需要是不需要使用。
以上完整介紹了Firefox + Gmail來應用S/MIME,但如果你有按步驟自己玩玩看的話,大概只有一點不方便,就是每發一次Mail「圖26:文字簽署要求」的畫面就會跳出來一次。而這個主控台密碼其實也是為了安全所設計的,你可以在「Firefox → 工具 → 選項 → 安全」
圖35:設定Firefox主控密碼
圖36:變更主控密碼
這樣設定後可以多一層保障,就算有人可以使用你的電腦,開啟Firefox,而你又使用自動登入Gmail,但沒有主控密碼,此人也無法使用你的Gmail+S/MIME來傳送有憑證的郵件給任何人。
參考資料:
您也是佛心來的,提供這麼詳盡的介紹,給你掌聲鼓勵,謝謝。
回覆刪除請使用IE6/7來申請,使用IE8以上會有問題。
回覆刪除如果使用IE8,請使用「相容模式」。
請問自然人憑證、券商的交易憑證也可以做為數位簽章嗎?
回覆刪除自然人憑證,我知道是可以,你可以找一下 blog.miniasp.com ,有相關資訊。
回覆刪除券商的交易憑證,這我就不清楚了。