ちょうど仕事の案件でS/MIMEを使用することになったので、調べてみました。
私自身はMyDocomoで送られてくるこの画面・・・
でおなじみのサイバートラストのS/MIME証明書「Sure Mail」を当てにしていたものの、問い合わせてみると、
「この商品は電子署名のみで暗号化していません」
なんですとーーーー!!!
確かに、電子署名と暗号化が同時に適用されたメールは
このようになります。(後で調べた結果ですが)
勝手に電子署名と暗号化が適用されていると思っていた自分がバカでしたが、単なるフィッシング対策だけのために大仰な仕組みを採用しているとは思ってもみなかった。
他のSSL証明書発行会社ではクライアントで使用するS/MIME証明書しか発行しておらず、今回サーバーからプログラムで実行するという条件では使えないものばかり。
やはりメール暗号化はマイナーな存在だ・・・・
結局、自己証明書で実現するしかなさそうだ!おれおれCA構築するぞ!
WAONでワォン!
5月に申し込んでいた吉野家WAONが先々週ようやく届いた。
そして今日の昼にWAONデビューしてきました!
「ワォン」
あれ!「ワォーーン」じゃないの?
大人の犬ではなく、子犬なのか?
というより吉野屋でチャージできないのが不便だな。
Google Analytics 携帯版 携帯端末だけ見たい!
前回の続き
カスタムレポートで携帯の端末別に表示できたものの、「7」や「XP」などPCからアクセスした「OSのバージョン」がやはり邪魔ですね・・・
ということで方法を調査してみました。
まずは端末名リストの下にある「アドバンス フィルタ」を試してみました。
「OSのバージョン」に「XP」「Vista」「2000」を含まないとしてフィルタを適用します。
「7」は端末名にあるので外せませんが見れないことはありません。
ただ・・・・フィルタは1回限りということで、次回リンククリック時はリセットされてしまいます。毎回セットするのは・・・ダメですね。
ということで、前回作成したカスタムレポートを編集してみます。
気になるのは「ディメンション」の下の「サブディメンション」です。これどうやって使うんだろうか?
「OSのバージョン」を「サブディメンション」1階層目へ移動し、「モバイル」を「ディメンション」に、「月」を「サブディメンション」2階層目に、「週」を「サブディメンション」3階層目に、「日別」を「サブディメンション」4階層目にドラッグアンドドロップしました。
「レポートを保存」して表示すると・・・
最初の表示は「モバイル」かどうかのフラグ(「Yes」or「No」)になりました。
「Yes」(モバイル)のリンクをクリックすると・・・
「OSのバージョン」が表示されますが、上の階層でモバイルのみでフィルタがかかっていて希望通り!!ですね。
さらに、端末名のリンクをクリックすると端末別の「月」の集計数
「週」の集計数
「日別」の集計数と進みます。
「サブディメンション」は設定次第ではとても有意義な機能です。
最後に、一覧表形式ではなく、円グラフ形式にする方法を
表の右上に切り替え用のアイコンがあります。
通常は一番左になっていますが、左から2番目を選択すると、円グラフが見えます。
といっても、端末名が細分化しているので利用価値があるかどうかは別問題です。
「クロスルート」は「暗号アルゴリズムにおける2010年問題」を救うのか?
大袈裟なテーマですが、今プスプスと火種ができている状態です。おそらく今年の年末頃になるとマスコミでも取り上げられる問題になる可能性もあります。
「暗号アルゴリズムにおける2010年問題」の対応により「公開鍵長が2048bit以上」になる(2011年以降は2048bit証明書のみ発行される)と、例えばベリサインの「セキュア・サーバID」のルート証明書は「VeriSign Class 3 Primary CA – G5」を使用します。
しかし、このルート証明書は最近の端末にしか搭載されていないため、旧端末を救済するための方法として、ベリサインでは「クロスルート方式」が採用されています。
実際のサイト証明書までの証明階層構造を見てみましょう。
「セキュア・サーバID」公開鍵長1024bit
Class 3 Public Primary CA – G2
Class 3 Secure Server 1024-bit CA – G2
サイト証明書
1024bitではルート証明書は「Class 3 Public Primary CA – G2」となり、サイト証明書との間に中間証明書が入る3階層となります。
「セキュア・サーバID」公開鍵長2048bit対応端末
Class 3 Public Primary CA – G5
Class 3 Secure Server CA – G3
サイト証明書
2048bitの対応端末ではルート証明書は「Class 3 Public Primary CA – G5」に変更となり、サイト証明書との間に中間証明書が入る3階層となります。
「セキュア・サーバID」公開鍵長2048bit未対応端末
Class 3 Public Primary CA
Class 3 Public Primary CA – G5
Class 3 Secure Server CA – G3
サイト証明書
2048bitのルート証明書「Class 3 Public Primary CA – G5」を搭載していない未対応端末では、最上位に「Class 3 Public Primary CA」を追加して4階層となります。「Class 3 Public Primary CA」はほとんどの旧端末に搭載されているので認証できることになります。これが「クロスルート方式」といわれる方法です。
しかし、携帯端末にルート証明書が搭載されていればOKかというと、話はそうは単純ではないのです。そもそも端末仕様として2048bit暗号を扱える端末(またはアプリケーション)なのかどうかが問題となるのです。
6月に入り問題となった、auのEZアプリ(BREW)向けサービスの一部の通信ができないという事象は、まさに2048bit暗号を扱えないアプリの問題でした。
https://www.verisign.co.jp/ssl/about/20100601.html
そのため、クロスルート方式であっても、今までのように旧端末もすべてカバーするとうわけには行きません。事実、2G機種や古いスマートフォン、一部の3G機種では対応できないことが発表されており、大幅に対応数が減っています。各社、3G機種のみを対象としたり、2006年以降発売の機種を調査の対象としていることは、その事実を隠そう!?としているようにも思えます。
2048bit未対応3G機種(ベリサイン)
https://www.verisign.co.jp/ssl/about/mobile_list.html
1024bit対応機種(セコムトラスト)
http://www.secomtrust.net/service/ninsyo/mobile_SSL.html
2048bit対応機種(セコムトラスト)
http://www.secomtrust.net/service/ninsyo/mobile_SSL_2.0.html
いろいろな情報を総合すると、2G以前の携帯端末はほぼ全滅ということになりますが、2013年以降はマイクロソフトがOSから1024bitのルート証明書を強制的に削除するという発表したこともあり、2、3年は混乱が続くものと思われます。
今3年以上の1024bit証明書をとってもPC対応は厳しく、かといって、2048bit証明書をとると携帯対応率が激減してしまうという、悩ましい選択を私たちは迫られています。
あなたはどう対応しますか?
SSL証明書 携帯電話のルート証明書
SSL証明書の関係で、「暗号化アルゴリズムの2010年問題」という話題を先日書きました。それでは、今(2010年7月現在)携帯電話にはどんなルート証明書が載っているのだろうか?
ドコモ、au、ソフトバンクの3キャリアに搭載されているルート証明書を日本で購入する場合の正規発行会社別に上げてみた。
エントラストジャパン http://japan.entrust.com/
Entrust.net Secure Server Certification Authority(Entrust Secure Server CA)
Entrust Root CA
サイバートラスト https://www.cybertrust.ne.jp/index.html
Baltimore CyberTrust Root
GTE CyberTrust Global Root
CyberTrust Global Root
セコムトラストシステムズ http://www.secomtrust.net/
Security Communication Root CA1
Security Communication RootCA2
コモドジャパン http://www.comodojapan.com/
AAA Certificate Service
AddTrust External CA Root
COMODO Certification Authority
日本ベリサイン https://www.verisign.co.jp/
VeriSign Class 3 Primary CA
VeriSign Class 3 Primary CA – G2
VeriSign Class 3 Primary CA – G3
VeriSign Class 3 Primary CA – G5
VeriSign Universal Root CA
(以下GeoTrustブランド)
Equifax Secure Certificate Authority
Equifax Secure eBusiness CA-1
GeoTrust Global CA
GeoTrust Universal CA
GMOグローバルサイン http://jp.globalsign.com/
GlobalSign Root CA
GlobalSign Root CA-R1
GlobalSign Root CA-R2(GlobalSign)
RSAセキュリティ http://japan.rsa.com/
RSA Secure Server Certification Authority
RSA Security 2048 V3
Valicert Class 3 Policy Validation Authority
ジェイサート http://www.jcert.co.jp/
Starfield Technologies, Inc.
The Go Daddy Group, Inc.
メディックス http://www.jp.thawte.com/
Thawte Premium Server CA
Thawte Server CA
全部で29個ありますが、auはLink to Link方式用に自社SSL証明書(KDDI SECURE NETWORK ROOT CA)を搭載しています。
これらはすべて使用されているわけではなく、将来のために搭載されているものもあります。つまり、暗号アルゴリズムが違うものだったりします。
ルート証明書というのは、SSL証明書毎に用意されているものかと思っていましたが、調べてみるとそうではありませんでした。
例えば、ベリサインでは、
「EV SSL証明書」でも「グローバル・サーバID」や「セキュア・サーバID」でも公開鍵長1024bit以下ではすべて「VeriSign Class 3 Primary CA – G2」を使用します。公開鍵長2048bitになると「VeriSign Class 3 Primary CA – G5」が使用されます。
ジオトラストでは、
公開鍵長1024bit以下では「Equifax Secure Certificate Authority」を使用し、2048bitでは「GeoTrust Global Root CA」を使用します。
コモドでは、
公開鍵長1024bit以下では「Equifax Secure Certificate Authority」を使用し、2048bitでは「COMODO Certification Authority」を使用します。1024bitまではジオトラストのルート証明書を借りて署名されていたため、携帯対応率が非常に高かったわけですが、2048bitになると自社ルート証明書に変更されるために対応率がかなり下がることになります。
今のところ調査していて1024bitと2048bitで同じルート証明書を使用するのは、セコムトラストの「Security Communication Root CA1」ぐらいですね。
Google Analytics 携帯版のデバイス(端末)毎のアクセスはどう見るか?
Google Analytics(グーグル アナリティクス) 携帯版を設定してみたものの「携帯端末」に表示されるのはキャリア名のみで、デバイス(端末)名が表示されないのはなぜ???って悩んでいました。
こういうデータです。(一部PC用OSが混ざってしまっていますが・・・実際の画面です)
手順を解説しているサイトは多数ありますが、どれも情報が古く、携帯版と言いながら機能変更でなくなったものと思っていました。
が!・・・
ようやく設定方法がわかりましたので、説明したいと思います。
まずは、左メニューの「カスタマイズ」メニューにある「カスタム レポート」をクリックします。
すると、このような画面(拡大可)が表示されますので、「カスタム レポートを新規作成」のリンクをクリックします。
レポートを自作できる画面(拡大可)になります。左メニューも何やら見慣れないものに変わります。よく見ると、メニューは昔のGoogle Analytics 携帯版メニューに近いようですね。
タイトルを編集できますので、「端末コード」とでも変更しましょう。
「ディメンション」の「システム」に「OSのバージョン」がありますので、それをドラッグして右のディメンションのところにドロップしましょう。
「指標」には「ユニークユーザー数」をドラッグ アンド ドロップしてタブ名を編集しておきます。
新規タブを追加すると、「ディメンション」はそのままですが、新しく「指標」を追加できます。「直帰率」を指定しておきます。
最後に下の「レポートを作成」ボタンを押すと・・・
デバイス(端末)名が表示されたレポートが追加されました。追加レポートは左メニューの「カスタム レポート」に追加されます。
しかし、WindowsOS名も混ざっていることから、標準メニューの「携帯端末」がデバイス名で表示されているほうがいいんですけどね。
SDガンダム ガシャポンウォーズ
「Wii スポーツ リゾート」以来一年ぶりにWiiのゲームを購入した。ということで、Wiiの電源が入るのも一年ぶりとなる。
「SDガンダム ガシャポンウォーズ
もう15年も前になるが、学生時代にゲームをやりつくした感があって、最近の綺麗なだけの長いゲームや小難しいだけのゲームはやる気がしなくなっている。
まずは「シナリオモード」からはじめてみる。ゲームの操作方法を教えてくれながらシナリオが進むモードだ。
戦闘はアクションゲームになっている。単純だが面白い。ゲームもさくさくと進むので久しぶりにハマってみようか。
今日、Wiiを最初に電源を入れたとき画面が映らなかった。原因は有線LAN用のアダプタ・・・。どうも調子が悪いらしく通信したり止まったり、ちょうど画面の切り替え時に通信が止まるとWiiが固まる。どうしようもないというより、システムアップデートでアダプタが不安定になっていないか?
箔打ち実演 見納め、あぁ残念
北陸らしい?梅雨空の下、泉鏡花記念館へ行ってきました。
同館では、鏡花の「能楽もの」の代表作である「歌行燈」の成立100年を記念して、金沢能楽美術館と共催による展示を行っています。能楽が作品に取り入れられているものがたくさんあるようですね。
続いて、今月末で長期休館となる安江金箔工芸館へ行ってきました。
昭和49年の開館からの総集編として、名品の数々が展示されていました。
そして、最後の箔打ち実演を見てきました。今日は報道もたくさん来ていましたよ。
金箔を正方形に切る作業しか見たことがなかったので、箔打ち作業は始めてみます。ちなみに、箔を切るのは「竹」でつくられた道具です。「箔」が竹冠なのは意味があるんですよ。
大きな音を立てながら箔を引き伸ばしていき、温度が上がったところを冷ますついでに、広がり具合や厚さにムラがないかどうかをチャックするそうです。この作業は1グラムを1ミクロンになるまで3、4日続けられるそうで、これが非常に重労働です。
金箔工芸館は、7月から長期休館に入り、秋にひがし茶屋街の近く、東山にリニューアルオープンしますが、近辺に金箔体験が多いことや、箔打ちの音が近所に騒音になるということから、実演コーナーは廃止となり、展示のみとなるそうです。非常に残念なことです。
卯辰山 菖蒲園は今が見頃!
金沢市の北東に位置する卯辰山の菖蒲園は今が見頃です!
小雨が降り始めた中でも、見頃の菖蒲を見ようとたくさんの人が来ていました。
手前の池だけでなく、奥の斜面にも多くの菖蒲が植えられています。
菖蒲と言ってもいろいろな色、形がありますね。
鳥越一向一揆歴史館バス旅行
例年より一月早く、鳥越一向一揆歴史館のバス旅行に行ってきました。
今年は長島一向一揆の地へ行ってきました。
最初は2度織田信長軍に勝利した願證寺へ。信長の弟信興を自刃に追い込んだ願證寺を中心とする一揆宗と地侍たちは、経済戦争として信長と争った歴史があり、そこは堺と同じですね。
250年経つという本堂の前には一向一揆殉教の碑が立っています。
現在の願證寺は長島町又木にありますが、信長と争った頃はもう少し北のほうの杉江にあり、河川工事により長良川の川底に沈んでしまったそうです。
長島は元は、木曽川、長良川、揖斐川の三つの川の河口にできた中州であり、中学校の社会で習った「輪中」と呼ばれる地域になります。
輪中は中州を土手で囲んだ海抜ゼロメートル地帯であり、満潮時には本当に川面よりも地表面が低くなります。長島町の北側ほど高くなるそうですが、それでもマイナス50センチしかなく、南端の長島スパーランドの辺りになると、マイナス3メートルにもなるそうです。
そういう長島の歴史を紹介するのは、「輪中の里」です。ここは長島町の歴史博物館であり、輪中の歴史や長島城の展示、伊勢湾台風の被害状況などを展示から見る事ができます。
最後に、大垣市内の大垣別院に行きました。
ここは願證寺とも関係の深いところですが、歴史が非常に複雑で理解できませんでした。
大垣市は男檀家と女檀家という同じ家でありながら男女で檀家となる寺院が異なる珍しい地域らしいですが、一つの寺院でも50人ほどの檀家しかおらず、経済的には苦しいそうです。岐阜県は、飛騨地区の高山別院、東濃地区の岐阜別院、そして西濃地区の大垣別院と地区ごとに別院があるそうですが、この大垣別院が歴史が最も浅いそうです。
年々遠い地への旅行となりますが、来年は石山本願寺か、さてまた根来か、楽しみです。