Как (и зачем) получить сертификат для e-mail переписки (подробное руководство)

Первый вопрос, конечно же — «зачем». Почтовые протоколы интернета были разработаны очень давно, и поэтому не всегда они учитывают современные реалии. Например, любой человек (в т.ч. спамер или злоумышленник) может отослать электронное письмо от вашего имени!

Цифровой сертификат позволяет ставить электронную подпись на e-mail, тем самым подтверждая, что письмо было отослано именно с этого адреса, а также то, что после подписи (в процессе прохождения по интернету) письмо не изменялось. Поэтому я предпочитаю подписывать все исходящие письма. Кроме того, возможно, спам-фильтры, видя, что письмо подписано, с меньшей долей вероятности воспримут его как спам (хотя это лишь догадка).

Я расскажу о сертификатах S/MIME с практической точки зрения:

  1. как сгенерировать и получить сертификат;
  2. как загрузить его в почтовую программу;
  3. как использовать сертификат для подписи;
  4. как выглядят письма с цифровой подписью.

Получение сертификата

Есть несколько сайтов, где можно бесплатно получить сертификат. В прошлом я использовал Thawte.com, но во-первых, сайт (и процесс получения) довольно запутанный, а во-вторых, невозможно получить сертификат, используя браузер Internet Explorer 8 (зато поддерживается Netscape Navigator!).

Tiaurus советовал получить сертификат на shtirlitz.org.ua, но у меня нет ни капли доверия к таким «удостоверяющим центрам». Поэтому я рекомендую воспользоваться одним из крупнейших сайтов, работающих с сертификатами — Comodo. Процесс получения сертификата на этом сайте очень прост — производится в два шага за минуту-две. Итак:

  1. Открываем ссылку:
    http://www.comodo.com/products/certificate_services/email_certificate.html
    Если вы собираетесь использовать сертификат с почтовым клиентом Outlook или Windows Live Mail (наследник Outlook Express), рекомендую производить операции в Internet Explorer (тогда сертификаты «сами» и сразу появятся в этих программах).
  2. Нажимаем на большую кнопку «GET YOUR FREE EMAIL CERT NOW!». Открывается новая страница.
  3. Если вы используете Internet Explorer, то получите предупреждение о запросе от сайта. Нужно в меню «Сервис → Свойства обозревателя» перейти на вкладку «Безопасность», выбрать вверху «Надёжные узлы», нажать кнопку «Узлы» и добавить текущий сайт в список доверенных:
    IE-trusted-sites
  4. Заполняем имя, фамилию, адрес е-мейл, выбираем страну из списка. Вводим пароль на отзыв сертификата. Если по какой-то причине ваш ключ будет скомпроментирован (например, украден), можно будет отозвать (сделать недействительным) ваш сертификат, с помощью этого пароля. Можно также включить птичку, чтобы вам присылали всякие новости и важные уведомления. Сертификат выдаётся сроком на один год, поэтому я предпочитаю включить подписку, чтобы меня уведомили об истечении срока действия сертификата.
  5. Читаем соглашение, подтверждаем своё согласие. После этого ключ генерируется (отвечаем «Да» на запрос браузера) и отсылается на е-мейл, который вы указали.
  6. Проверяем почту. В полученном от Comodo письме будет большая красная кнопка «Click and install Comodo Email Certificate» (можно также воспользоваться ссылкой, которая в письме ниже). Важно: при нажатии кнопки ссылка должна открываться в том же браузере, в котором генерировался ключ! Таким образом и производится проверка того, что указанный вами адрес принадлежит именно вам. Нажимаем кнопку, подтверждаем операцию.

Добавляем сертификат в почтовую программу

Сертификат у нас есть. Теперь надо чтобы почтовая программа «знала о нём». Если вы использовали Internet Explorer, то Outlook и Windows Live Mail уже знает о сертификатах. Рекомендую сразу же сделать резервную копию сертификатов: в Internet Explorer выбираем в меню «Сервис → Свойства обозревателя», вкладка «Содержание», кнопка «Сертификаты»:

IE-certificates

Выбираем нужный сертификат, нажимаем кнопку «Экспорт…», далее читаем подсказки, и всё получится. 🙂 Сохраняем файл в надёжном месте!

В случае с Firefox и другим почтовым клиентом, в меню «Tools → Options» выбираем вкладку «Advanced», на ней — «Encription», нажимаем «View Certificates», выбираем нужный сертификат, нажимает кнопку «Backup» и выгружаем его в файл (при этом надо назначить пароль). Загрузка сертификата зависит от почтовой программы и обычно сложностей не вызывает (при импорте вводим тот же пароль, который указали при экспорте!).

Использование сертификата

В Outlook 2007 выбираем в меню «Tools → Trust Center», слева вкладка «E-Mail security», включаем «Add digital signature to outgoing messages» и «Send clear signed message when sending signed message» (вторая опция нужна, чтобы письма могли быть прочтены даже программой, которая не умеет работать с цифровой подписью):

Outlook-sign

Если используете Windows Live Mail — выбираем в меню «Параметры безопасности…», и на вкладке «Безопасность» включаем «Подписывать все отправляемые сообщения», нажимаем кнопку «Дополнительно» и обязательно отключаем опцию «Кодировать сообщения перед подписыванием (непрозрачная подпись)».

Всё. Теперь, если у нас есть сертификат для адреса vаsya@pupkin.ru и мы отсылаем письмо с этого адреса — подпись автоматически добавится к письму. При этом может появиться запрос, типа такого:

Outlook-security-request

Как отослать письмо без подписи

В Outlook: при создании письма на вкладке «Message» (это первая вкладка на ленте) мы видим «нажатую» иконку конверта с печатью. Это и есть признак «подписывать». Если её выключить — письмо уйдёт неподписанным:

Outlook-no-sign

В Windows Live Mail (меню обычно спрятано, чтобы не мешало, нажмите Alt, чтобы оно появилось):

WindowsLiveMail-no-sign

Как выглядят подписанные письма

В списке у письма будет особая иконка с печатью (или аналогичным значком). Например, в Outlook 2007 — так:

Outlook-inbox

В других программах будет как-то наподобие. Кроме того, при просмотре письма в шапке будет значок подписи. При клике по нему (в Outlook 2007):

Outlook-sign-info

Если же цифровая подпись нарушена, значок будет выглядеть не так благополучно, например, в Outlook — так:

Outlook-bad-signature

При нажатии на восклицательный знак:

Outlook-bad-signature-details

А в клиентах, которые не умеют работать с подписями (например, в веб-мейле) подпись будет выглядеть просто как вложение непонятного вида.

P.S. Есть также возможность получить личный (привязанный к имени, а не к e-mail’у) цифровой сертификат, т.е. такая подпись будет по сути аналогом вашей собственноручной подписи, но для получения такого сертификата требуется подтвердить свою личность и заплатить определённую сумму. Для жителей Украины — купить сертификат в Украинском сертификационном центре или в одном из его представительств (цена для частных лиц — 50 грн. в год). Но дело в том, что для подписи используется какой-то специфический софт «БЭСТ звит»… Вобщем, я решил, что мне это не нужно 🙂

Дополнено: Есть также другой тип цифровой подписи — на основе PGP (OpenPGP, GnuPG). О нём, возможно, расскажу в другой раз.

Дополнено: Как оказалось, цифровой подписью S/MIME можно подписывать и документы Word. Если документ будет впоследствии изменён — подпись будет нарушена.

Важное дополнение: Thawte с 16 ноября 2009г. прекращает выдачу и поддержку персональных сертификатов (Thawte Personal E-mail Certificates and Web of Trust are being discontinued), и рекомендует своим клиентам обращаться за бесплатными сертификатами в Comodo.

Немного рекламы:
» best bangkok hotel: Thailand accomodation;
» все салоны красоты москвы: каталог салонов, скидки в салонах;
» водопроводные бесшовные полипропиленовые трубы Kalbe
Желаете отблагодарить автора? Есть несколько возможностей! :-)
Яндекс.Деньги:   PayPal:
Прочие варианты:


19 комментариев на “Как (и зачем) получить сертификат для e-mail переписки (подробное руководство)”

  1. Виталий Says:

    Спасибо! Класс.

  2. Игорь Says:

    А для Gmail вообще нужны эти подписи? вроде как там фиг отправишь если не являешься владельцем аккаунта. Это больше подходит для пользователей своих собственных почтовых программ, на шаред хостингах.

  3. BlackBird Says:

    Подписи нужны не для программы или сервиса, а для человека 🙂 Насколько я знаю, GMail с цифровой подписью работать не умеет. Да и о других почтовых веб-клиентах, которые умеют — не слышал.

  4. V.exeR Says:

    А на хождение письма (например, гарантированное непопадание его в спам) это как-то влияет?

  5. Мак Сим Says:

    Во первых по поводу Gmail — https://addons.mozilla.org/ru/firefox/addon/592?src=api Это часом не оно? А потом, а почему бы не подписывать письма просто GPG ключами? Механизм во много раз проще и не требует связываться с какими то организациями.

  6. BlackBird Says:

    Мак Сим, аддон хорош. Хотя, конечно, было бы ещё лучше, если бы это поддерживал сам GMail. Насчёт GPG… Механизм не проще. Требуется поставить GPG, настроить, сгенерировать самому ключи, залить их в общее хранилище либо высылать открытый ключ каждому адресату. Если требуется использование подписи не только в почте, тода GPG/PGP даёт больше возможностей, если же только для почты — лучше так как я описал. Даже такие простые действия люди ленятся делать, что уж говорить про GPG.

  7. BlackBird Says:

    V.exeR, нет, гарантий нет. Возможно (повторю: это лишь догадки), НЕКОТОРЫЙ (не весь!) антиспамовый софт учитывает наличие подписей при подсчёте баллов.

  8. BlackBird Says:

    Мак Сим, я как раз приверженец того, чтобы доверять хранение сертификатов серьёзной организации, а не непонятно кем созданному web of trust.

  9. BlackBird Says:

    Мак Сим, слушай, а напиши пост в блоге про использование GPG в Windows, но не только с Thunderbird (в нём всё уже готово для использования PGP, насколько я помню), а и для Outlook и TheBat. А я в тексте поста поставлю ссылку на него.

  10. Мак Сим Says:

    Не получится… Писать один абзац про общую идею глупо, а подробный пост не выйдет потому, что у меня нет Windows. Раньше то хоть на работе была, а теперь и в офисе ноут с мандривой. Могу написать краткий пост по использованию GPG в Gmail (ну ясно, что Firefox)…

  11. BlackBird Says:

    Насчёт подписи для отчётов налоговой, цитирую: «Электронная подпись в Украине — тупое сбивание денег. Полученной ЭЦП нельзя подписать договора с налоговой и сертификатором ЭЦП!!!» http://twitter.com/olpas/status/3379894548

  12. Alex Says:

    Похоже уже нет раздачи на Comodo бесплатных e-mail сертификатов.

  13. BlackBird Says:

    Alex, на сайте Comodo нет, но я вот нашёл ссылку: http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html Плюс Thawte по-прежнему выдаёт бесплатные сертификаты: http://www.thawte.com/secure-email/personal-email-certificates/

  14. Alex Says:

    Кстати, я посмотрел в IE6 нет корневого сертификата от COMODO. В Opera 10 и FireFox 3.5 — есть. Корневой сертификат Thawte есть везде.

  15. Алекс-молодец Says:

    вроде ссылка изменилась… http://www.comodo.com/home/email-security/free-email-certificate.php

  16. BlackBird Says:

    Алекс-молодец, спасибо! 🙂

  17. Free Basic SSL from Google? Says:

    I just read that Google could be getting into the SSL certificate business. I’ve not worked out how they can make money from free certificates, but this must be troubling to the current SSL providers.

  18. бр Says:

    Да зайдите вы на сайт комодо,какие такие ссылки?Там все черным по белому-фри е-мэйл сертификаты.

  19. Евгений Says:

    Да, с комодо получить сертификат довольно просто, вот только с этим сертификатом возникает одна проблема: пользователи *nix систем вряд-ли смогут его себе поставить без перезагрузки в форточки или запуска оных на виртуальной машине т.к. веб-морда не умеет работать с человеческими браузерами(под виндой, кстати, тоже прийдется попользовать IE, т.к. всякие хромы и оперы скрипты комодо не признают).