在Thunderbird的帳號設定當中,其中伺服器設定的部分,若使用IMAP的帳號時,您可能會發現一個有趣的選項"以TLS憑證登入"。究竟這個認證方式是什麼意思,又有什麼優勢呢?
要說明這項功能,首先我們要了解用戶端憑證認證機制與常見的幾種認證方式:
用戶端憑證認證
在二十一世紀的現在,人們可透過網際網路完成很多以前只能自己親自跑一趟的事情,例如:上銀行理財、轉帳、購物、繳水電瓦斯費、繳稅、老闆發薪水、學生排隊註冊選課等等。雖然生活著實方便許多,但是我們知道誰是幕後功臣嗎?答案是:完備的線上用戶端認證機制成就了線上的交易。否則,對方憑著什麼來相信「我們」是「我們」呢?
一般來說,常用的認證方式分三大類:
1. 只有被授權者或使用者本人才知道的密碼字串,例如:dwo1yK83t2zC。複雜度越高雖然越難記住但是安全度越高。
2. 只有被授權者或使用者本人才使用的電子憑證,例如:用戶端的 TLS 憑證(TLS client certificate)。由伺服器所發出的使用者專屬憑證檔案,可儲存在應用程式裡、作業系統中、USB 硬體容器。只要伺服器及應用程式支援,費用相對的低。
3. 只有被授權者或使用者本人才擁有的私人特徵,例如:指紋,視網膜,聲紋。將上述的特徵透過掃瞄並以數位方式儲存方便未來身份驗證之用。價格不斐。
在Thunderbird中,目前可以支援1與2兩種認證方式,但是同時間,您使用的郵件伺服器也要能夠相對上支援這些認證方式,否則它就無用武之地。(若您對此種認證方式有興趣,可參考我司產品EVO Mail Server)
一般來說,用戶端憑證認證機制當中使用的TLS憑證是由CA(Certificate Authority)伺服器管理:CA (Certificate Authority) 發出符合 PKCS#12 格式的憑證。此憑證可放置於符合 PKCS#11 規範的容器中,例如: USB Key、Smartcard、Windows Certificate STORE、Security Token 等等。
在Thunderbird當中,它與Firefox共用相同的憑證管理員
您可在工具-選項-進階-憑證當中可以叫出,進行匯入PKCS#12的動作。
當您將自CA伺服器取得的憑證匯入了Thunderbird憑證管理員之後,就可在"您的憑證"區塊看到這個憑證並且準備使用"以TLS憑證"登入郵件伺服器。
若郵件伺服器端與Thunderbird兩端皆準備妥當,在Thunderbird進行連線收信時,就會彈出選擇憑證的對話框,此時選擇正確的憑證,就可以順利登入郵件伺服器。
幕後揭密
究竟,Thunderbird是如何與郵件伺服器進行TLS client certificate用戶端憑證認證呢?其實它是透過一組所謂的AUTH EXTERNAL指令,這組指令指示以外部因子的方式來做認證,而目前唯一市場上可行的外部因子就是TLS certificate。
在Thunderbird開發團隊與一些業界人士的討論串當中,我們可發現,有一些人對於EXTERNAL是否應該由TLS certificate來代表,存在著相當的爭議,但不論如何,Thunderbird最終還是採納了此種認證方式。
TLS certificate認證的優勢
密碼再怎麼說就是幾個字,嘴巴大就可告訴別人,憑證再怎麼說也是一個數據,最少也要用拷貝的才能傳給別人,流通性上就有差異,但只有TLS憑證可以做到無法拷貝,使用TLS憑證時最好將它與Private key一起置入USB key,例如:Aladdin 的 eToken PRO 或是 SafeNet iKey 2032。將憑證檔案匯入 USB key 的優點是 憑證檔案內的私密金鑰一經匯入皆不得匯出。
如此一來,您就建立了一隻無法複製的郵件信箱Security token,也只有擁有這支密鑰的人才能登入郵件帳號了。
Thunderbird的憑證管理員可以支援使用USB Security Token存取憑證,但要注意的是,必須先灌廠商提供的驅動程式並正確載入其模組才能使用。
留言列表
