失効署名付メール配信が修復されたようだ

2021年2月24日に発行CAが停止し、失効処理された「証明書」で「署名」されたメール

２回ほど「サポートデスク」に電話確認したが、「不具合を認識している」「対応処理中」「対応結果は、ホームページで公表」との事だった。

本日「有効な証明書」で「署名」されたメールが届いた。
証明書は、2021年4月７日再発行のようだ。

CA機関の都合で停止になるのだから、停止前から切替、再発行の手続きが案内されると思うが、放置していたのだろうか。。。
実際CA機関が停止してから6週間も放置して、「失効証明書」で「署名」したメールを送りつける無神経な行いを理解し難い。
普通なら、「失効証明書」を認識した時点で、メール配信を停止、「有効な証明書」への切り替えを行うべきであろう。
同時に、配信先に「経緯」などを説明するのが「信頼」の基本であると思う。

「iPhoneでデジタル署名エラーのメールを受ける」では、送信者名が「赤色」になっていたが、「有効な証明書」で「署名」されたメールは、送信者名が「青色」になった。


「Windows10のMailで「デジタル署名エラーメール」を確認するー誤判定？」が原因で認識が遅れたのかな・・・「そんなわけ無い」
「瓢簞から駒（Windows10 Mail）が出た」のは収穫・・・

Windows10のMailで「デジタル署名エラーメール」を確認するー誤判定？

「iPhoneでデジタル署名エラーのメールを受ける」と同じメールをWindows10(Version 20H2/OS build 19042.906）のメール（Version 16005.13426.20566.0）で表示すると「smime.p7s」でデジタル署名ファイルが表示される。
「smime.p7s」クリックで「管理コンソール3.0」「certmgr」が起動されデジタル署名の証明書が表示される。

証明書を発行したCAまで表示されるが、CAを認証した「Root CA」が表示されない。

有効なデジタル署名を持つメールでは、「Root CA」まで表示される


有効で無い「デジタル署名」を持つメールの「smime.p7s」を開き、


ユーザに発行された証明書パスを観ると「Root CA」までのパスが表示される


CA機関の証明書パスも「Root CA」までパスが表示される


CA機関の証明書が有効期間内である事を確認し、


CA機関証明書の「シリアル番号」を確認する


「CRL」の配布ポイントを確認し、


ブラウザで取得し表示させる


失効リストでシリアル番号を確認する

このCA機関は、「失効」している。このCA機関が発行した「デジタル署名」用の証明書も失効している事になる


OfficeのOutlookだと「デジタル署名」が正しく処理され、署名が正しくないことを警告している

ひかり電話 HGW PR-600MIのIPv6スループットを確認する

「ひかり電話 HGW PR-S300SEのIPv6スループットを確認する」と同様にPR-600MIで計測してみた

（１）構成

PR-S300SEのIPv6スループット計測と同様の構成だがPR-600MIのUNI/WANとブリッジポート（enp1s0f0/enp1s0f1）接続が逆になっている（接続変更の理由は無い）。isc-dhcp-serverとdhclientをブリッジポート（br０)で稼働させ、起動・停止スクリプトを準備した。

スイッチ各ポートとVLAN接続


切替手順
通常時Port16は、Vlan3でPR-600MIのWANとUNIが直接接続された状態

切替
Port16Vlan3からVlan4へ変更（ブリッジ接続）

chg-route.sh
"!/bin/sh
#set route
/sbin/ip route add default via fe80::0212:e2ff:feab:cdef dev br0
/sbin/ip route add 2409:10:XXXX:YY00::/56 via fe80::2ae9:8eff:fe12:3457 dev br0
#blocking IPv6 packet from the internet to 2409:10:XXXX:YY02::1
/sbin/ebtables -A INPUT -p 0x86dd -s 00:12:e2:ab:cd:ef -i enp1s0f1 --ip6-dst 2409:10:XXXX:YY02::1 -j DROP
#blocking dhclient access from br0 to DHCPv6 server on br0
/sbin/ip6tables -A INPUT -p udp -s fe80::215:17ff:fe34:abcd -i br0 -m udp --dport 547 -j DROP
#start DHCPv6 server
/etc/init.d/isc-dhcp-server start
#blocking PR-600MI DHCPv6 Solicit to Alaxala NTT-GW on br0
/sbin/ebtables -A FORWARD -p 0x86dd -s 28:e9:8e:12:34:57 -o enp1s0f1 --ip6-proto udp --ip6-dport 547 -j DROP
#chg the route from NGN->Alaxala->pr-600mi to NGN->Alaxala->Debian10
/sbin/dhclient -6 -nw -P -D LL br0
#add Global IPv6 address for iperf3
ip address add 2409:10:XXXX:YY02::1/64 dev br0

PR-600MI： 「情報」「DHCPクライアント取得情報」「DHCP再取得（IPoE）」の実行でPR-600MIをAlaxalaGW(NTT GW)からDebian10へ経路を変更する

復帰

chg-route-restore.sh
"!/bin/sh
#stop dhclient
/sbin/dhclient -6 -r br0
#stop DHCPv6 server
/etc/init.d/isc-dhcp-server stop
#remove the blocking PR-600MI DHCPv6 Solicit to Alaxala NTT-GW on br0
/sbin/ebtables -D FORWARD -p 0x86dd -s 28:e9:8e:12:34:57 -o enp1s0f1 --ip6-proto udp --ip6-dport 547 -j DROP
#remove the blocking dhclient access from br0 to DHCPv6 server on br0
/sbin/ip6tables -D INPUT -p udp -s fe80::215:17ff:fe34:abcd -i br0 -m udp --dport 547 -j DROP
#remove the blocking IPv6 packet from the internet to 2409:10:XXXX:YY02::1
/sbin/ebtables -D INPUT -p 0x86dd -s 00:12:e2:ab:cd:ef -i enp1s0f1 --ip6-dst 2409:10:XXXX:YY02::1 -j DROP
#remove the route
/sbin/ip route del default via fe80::0212:e2ff:feab:cdef dev br0
/sbin/ip route del 2409:10:XXXX:YY00::/56 via fe80::2ae9:8eff:fe12:3457 dev br0
#remove the Global IPv6 address for iperf3
ip address del 2409:10:XXXX:YY02::1/64 dev br0

PR-600MI： 「情報」「DHCPクライアント取得情報」「DHCP再取得（IPoE）」の実行でPR-600MIをDebian10からAlaxalaGW(NTT GW)へ経路を変更する
Port16Vlan4からVlan3へ変更

DHCPv6サーバー設定
br0で稼働させる事を除き「ひかり電話 HGW PR-S300SEのIPv6スループットを確認する」と変更無し。

/etc/default/isc-dhcp-server
INTERFACEv4=""
INTERFACEv6="br0"

DHCPv6クライアント設定

/etc/dhcp/dhclient.conf
option dhcp6.vendor-class code 16 = {integer 32, integer 16, string};
#vendor-specific information for NTT
option space NTT code width 2 length width 2 hash size 8;
option NTT.mac-address code 201 = string;
option NTT.tel-number code 202 = text;
option NTT.additional-tel-number code 203 = text;　#array of text;が望ましいが未実装
option NTT.sip-domain code 204 = domain-list;
option NTT.hgw-server code 210 = domain-list;
option visa.NTT code 210 = encapsulate NTT
interface "br0" {
    send dhcp6.client-id 00:03:00:01:28:e9:8e:12:34:57; #PR-600MI WAN
    send dhcp6.vendor-class 210 6 28:e:9:8e:12:34:57; #NTT Enterprise ID & PR-600MI MAC address
    also request dhcp6.sntp-servers, dhcp6.sip-servers-addresses;
    alse request dhcp6.vendor-opts; #request contracted HIKARIDENWA inf.
}

「dhcp6.vendor-opts」をrequestする事でDHCPv6サーバから「dhcp6.vendor-opts」定義のひかり電話情報を取得できる。取得したデータは、定義したvendor-specificで表示されるが、textの配列定義が未サポート（isc-dhcpd-4.4.1)。複数設定された「additional-tel-number」のうち最後の一つしか表示されない。
option「Authentication」は、PR-600MIへシミュレートしていないが、現時点で問題発生は無い。dhcrelayで対応を考えたが、global IP address設定が解決出来ず保留中。

経路確認

PR-600MIとNTT-GWの間でDebian10が中継している経路が確認出来る。

（２）計測
ひかり電話未使用時

iperf3でUpload（LAN->WAN）とDownload（WAN->LAN）を60秒間5回計測
概ねGBTの最大スイッチ速度（926Mbps）

ひかり電話使用時

ボイスワープ折返しで２回線使用時にiperf3でUploadとDownloadを60秒間計測
受話器で保留音を確認する限り「音声音質」に変化なし。「なし」設定で良いかと思う。

「スピードテスト」で確認
iperf3サーバ（2409:10:XXXX:YY02::1）に稼働しているspeedtestで確認

Dynabook SS RX2とイーサ・スイッチのミラーポート

ひかり電話 HGW PR-S300SEやPR-600MIのIPv6スループット計測時に「意図しないスループット低下」が記録された。
HGWは、L2スイッチ（ネットギアGS-116E）のポートVLAN（Port16, 15, 14）に接続している。


パケット解析のためPort6をmirrotポートしてPort14,15をモニタ設定している

「NVR500 L2TP/IPsecの最大VPN回線速度計測 #2」では、Let's Note（CF-W4）の100Mbpsポートに接続して失敗したが、DynaBook SS RX2は、GBTイーサなので問題無かった。
パケット解析をしないときは、Dynabookの電源をオフにしているがミラーポートへのイーサネットは、接続したままにしてある。

HGW PR-600MIのIPv6スループット計測時に「速度低下」が確認された。
調査の結果、Dynabook SS RX2の電源オフ状態でもイーサネットが活性状態である事が判った。

下記BIOS設定の「Auto Power On」「Wake-up LAN」と「on battery」が「Enabled」の影響だった（デフォルトは、Disabled）。

いつ変更したのか記憶に無いが、デフォルト設定「Disabled」に戻した。