Niedawno opisywaliśmy, iż Comodo/Sectigo zakończyło wydawanie darmowych certyfikatów S/MIME wykorzystywanych do szyfrowania oraz podpisywania elektronicznego wiadomości e-mail. W tej sytuacji powstaje pytanie, czy da się jeszcze gdzieś uzyskać tego typu ofertę?
Okazuje się, że mamy tu jeszcze pewną możliwość, choć może nie aż tak fajną, jaką była oferta Comodo/Sectigo (a dlaczego to w ramach artykuły też postaramy się wyjaśnić), ale pozwalającą uzyskać certyfikat S/MIME całkiem za darmo, i to mający rok ważności, a możliwością tą jest oferta certyfikatu S/MIME włoskiego urzędu certyfikującego Actalis.
A w ramach tegoż artykułu postaramy się pokazać, jak uzyskać, a następnie jak zainstalować w/w certyfikat S/MIME, na przykładzie klienta pocztowego Thunderbird.
Zaczynamy od uzyskania certyfikatu
Aby uzyskać certyfikat S/MIME od Actalis, zaczynamy od przejścia na odpowiednią na stronę (1), tj.: https://www.actalis.it/products/certificates-for-secure-electronic-mail.aspx
po czym znajdujemy i klikamy (2) na hiperłącze „Free S/MIME certificates„:
Na podstronie, która nam się pokaże, należy w polu „Email” wpisać adres e-mail, dla którego chcemy uzyskać certyfikat S/MIME, i nacisnąć przycisk „SEND VERIFICATION EMAIL”, przy czym co ważne to NIE ZAMYKAMY NARAZIE TEJ STRONY (a pozostałych pól narazie wypełniać jeszcze nie trzeba):
W tym momencie na podany adres e-mail zostanie wysłana wiadomość weryfikacyjna, dzięki której urząd potwierdzi, że faktycznie jesteśmy właścicielami podanego adresu e-mail (w końcu certyfikat ma m.in. potwierdzać, że wiadomość podpisana tym certyfikatem, którą ktoś dostał, została wysłana faktycznie przez właściciela adresu e-mail nadawcy). W tymże przesłanym e-mailu od Actalis, znajdziemy kod weryfikacyjny:
Ten kod z e-maila wpisujemy teraz na stronie w pozycji „Verification code„, wypełniamy „Captcha”, oraz zaznaczamy pozostałe zgody, i naciskamy przycisk „SUBMIT REQUEST„:
W tym momencie pokaże nam się informacja, że teraz na podany adres e-mail zostanie przesłany certyfikat S/MIME, który będzie zaszyfrowany kluczem symetrycznym tworzonym/odtwarzanym na bazie hasła, i aby go otworzyć będziemy musieli podać wskazane na tej podstronie hasło (i co ważne, jak się zamknie tą stronę, a nie zapisze się tego hasła, to nie ma możliwości ponownego uzyskania tego hasła):
Patrzymy teraz w naszej skrzynce e-mail, i możemy tam znaleźć przesłaną wiadomość z certyfikatem w załączniku (spakowany w formacie .zip):
Otwieramy więc plik w załączniku, i w otwartym pliku możemy zobaczyć plik .pfx, który zawiera certyfikat, oraz co już musi się stać logiczne, również klucz prywatny:
I tu się okazuje wspomniany na początku artykułu pewien istotny minus, w porównaniu do wcześniejszej oferty Comodo/Sectigo.
Tutaj urząd generuje u siebie klucz prywatny oraz żądanie o certyfikat, po czym podpisuje to żądanie, i uzyskany certyfikat wraz z kluczem prywatnym przesyła nam mailem w załączniku (dobrze, że tutaj chociaż ten załącznik nie jest przesyłany w sposób całkiem jawny – plik jest zaszyfrowany kluczem symetrycznym tworzonym/odtwarzanym na bazie hasła, które było wskazywane na stronie po wygenerowaniu tam żądania). Problemem nad którym warto pochylić głowę, to fakt, że jeżeli urząd ten generował sam klucz prywatny oraz żądanie certyfikat, to znaczy, że on teraz również posiada nasz klucz prywatny. Oczywiście urząd nam powie, że oni nie przechowują, tylko generują i usuwają, że oni więc tego nie mają. Ale jaką my możemy mieć pewność, że tak jest?
Z założenia tylko my powinniśmy posiadać klucz prywatny, i nikt więcej…
A tak, to zawsze istnieje jakieś ryzyko, że jakiś pracownik tego urzędu certyfikującego, kto wie, i a nuż może będzie mógł uzyskać dostęp do wiadomości e-mail, jakie ktoś zaszyfrował naszym certyfikatem…
Oczywiście, przy wykorzystaniu prywatnym, pojawia się nasza dyskusja: ale to mimo wszystko Urząd Certyfikujący, i tak musimy mu w końcu jakoś tam też zaufać, i w sumie ja nic takiego znowu strasznego nie wysyłam, a zależy mi na przesyłaniu mailu w sposób wiarygodny, aby każdy wiedział, czy dostał wiadomość faktycznie odemnie, itd…
Także każdy tu musimy sam się zastanowić, na ile ten problem, może być faktycznie dla niego problemem…
Ale zastanowić się trzeba…
Dobra, zakładając, że jednak zaufamy temu urzędowi, to rozpakowujemy ten plik .pfx do wybranego katalogu:
I teraz zostaje nam zainstalować ten certyfikat i klucz prywatny, aby móc go używać.
Instalujemy certyfikat oraz klucz prywatny w kliencie pocztowym Thundebird
Ponieważ aplikacje firmy Mozilla nie korzystają z systemowej bazy certyfikatów oraz kluczy prywatnych, to dla Thunderbird’a musimy zainstalować tenże zestaw w bazie certyfikatów Mozilla.
Aby to zrealizować, uruchamiamy oczywiście aplikację Thundebird (oczywiście jak nie była uruchomiona), i przechodzimy w ustawieniach do opcji:
W oknie „Opcje” przechodzimy do pozycji „Zaawansowane” a tam następnie do pozycji „Certyfikaty” gdzie klikamy na przycisk „Zarządzaj certyfikatami”:
W oknie „Menedżer certyfikatów” w zakładce „Użytkownik” klikamy na przycisk„Importuj”:
I wskazujemy/otwieramy teraz rozpakowany wcześniej plik .pfx przysłany w mailu od Actalis:
W tym momencie, biorąc pod uwagę, że klucz prywatny został zaszyfrowany z wykorzystaniem klucza symetrycznego tworzonego/odtwarzanego na bazie hasła, to musimy podać hasło wskazane przez Actalis wcześniej na stronie internetowej:
Teraz możemy/powinniśmy znaleźć zainstalowany certyfikat na liście naszych osobistych certyfikatów:
Konfigurujemy wykorzystanie certyfikatu dla odpowiedniego konta pocztowego w kliencie pocztowym Thundebird
Teraz musimy jeszcze wskazać, aby Thundebird używał certyfikatu do podpisywania naszych wysyłanych e-maili z wykorzystaniem uzyskanego certyfikatu S/MIME, dlatego też przechodzimy do ustawień właściwego konta pocztowego:
W konfiguracji konta przechodzimy do zakładki „Zabezpieczenia” a następnie w pozycji „Podpis cyfrowy” klikamy na przycisk „Wybierz”, aby następnie wskazać właściwy certyfikat z bazy jaki ma być wykorzystywany do realizacji podpisu cyfrowego:
Na szczęście nie musimy wyszukiwać w gąszczu właściwego certyfikatu, gdyż aplikacja wskazuje nam tylko „pasujące” certyfikaty, wybieramy więc ten właściwy certyfikat (najczęściej ten właściwy cały jeden), i naciskamy „OK”:
Teraz w pozycji „Certyfikat do cyfrowego podpisywania wysyłanych wiadomości” powinien być wskazany nasz nowy certyfikat od Actalis, warto również zaznaczyć opcję „Podpisuj cyfrowo wiadomości (domyślnie)”, aby nie musieć pamiętać o podpisywaniu cyfrowym wiadomości, po czym naciskamy więc przycisk „OK”, aby zatwierdzić konfigurację:
Teraz już możemy utworzyć nową wiadomość, gdzie powinniśmy zobaczyć, iż już domyślnie jest odznaczona pozycja mówiąca o aktywowaniu podpisu elektronicznego dla tworzonej wiadomości (przy czym ikona wskazana na poniższym zdjęciu pokazuje się po zainstalowaniu do Thunderbird’a dodatku Enigmail):
Osoba, która odbierze utworzoną przez nas wiadomość, zobaczy (jeżeli także używa aplikacji Thunderbird, gdyż każdy klient pocztowy po swojemu realizuje obsługę podpisu elektronicznego wiadomości e-mail) ikonę „zalakowanej koperty”, po kliknięciu na którą, można zobaczyć okno z rozszerzonymi informacjami odnośnie podpisu:
Oczywiście w innych klientach pocztowych obsługa wyglądać będzie inaczej, i to pod warunkiem wstępnym, że tenże klient pocztowy wogóle umożliwia obsługę certyfikatów S/MIME do szyfrowania oraz podpisywania.
Proces szyfrowania wiadomości, będzie mogła wykonać już osoba, która odbierze od nas naszą tak podpisaną wiadomość e-mail, i będzie chciała wysłać do nas od siebie wiadomość (zaszyfrowaną wtedy z wykorzystaniem naszego certyfikatu S/MIME) – przy czym też oczywiście wymaga to wykonania określonych czynności przez tego użytkownika (sama automatycznie może się ta wiadomość nie zaszyfrować).