是否有任何真正的理由为您自己的电子邮件安全使用第 3 方证书颁发机构?
(意思是使用 S/MIME)
我发现我能够成为我自己的 CAuthority 并创建我自己的自签名根证书......并且它们安装在我的机器和移动设备上工作得很好。
是否有令人信服的理由使用第 3 方的付费证书而不是我自己控制的自行生成和签名的证书?
我一直在想——我最信任的人或实体对我经过验证的加密电子邮件的授权......是我!......为什么我会让一个额外的无法被我验证的实体进入那个通信链?- 如果我向谁发送电子邮件是其他认识我并相信是我的人..?我为什么要付钱给他们?
如果通信是在我的商业网站和不认识我并正在交易金钱的未知外部个人之间进行的,我可以理解......但对于个人电子邮件?在家人和知名朋友或同事之间?
还有什么我不明白的关于公私钥加密的东西,这使得拥有经过验证的第三者给我值得支付的证书?
我了解在处理网站上的商业或使用您的安全连接信任网站时需要 SSL 3rd 方验证。但是个人之间呢?看起来不一样……你个人认识的人更不一样。不?
使用外部 CA 的唯一原因是您和另一方之间有一个共享的信任根。如果您控制所有机器,例如域中的所有机器,那么您完全没有理由不能使用自己的 CA。我们有自己的 Exchange 域 CA。它实际上比外部 CA 容易得多,因为服务器和客户端将自动获得 CA 证书。
这篇文章很好地描述了它:
http://www.davidpashley.com/articles/cert-authority.html
这一个也非常好 - 看看侧边栏评论:
http://www.area536.com/projects/be-your-own-certificate-authority-with-openssl/
他没有特别提到 SMIME 电子邮件——但我认为它属于这一类。
我相信在我的情况下(小型个人安全)成为您自己的 CA 是一种有效且可行的做事方式 - 只要您能够围绕流程并在仔细了解限制的情况下进行操作。
我仍然会等待有人说服我,否则在这里...感谢所有答案,每个人都有帮助!
在我看来,使用自签名 CA 是绝对有效的选择。由该 CA 颁发并用于电子邮件加密的证书的工作方式与从全球受信任的 CA 颁发的证书相同,唯一的例外是最终用户必须手动信任该 CA 一次。
这意味着关键步骤是信任自签名 CA。但是,您可以确保自签名 CA 是正确的,这比依赖您必须信任但无权选择的全球信托公司更安全。
例如,我们在网络上发布我们的公共 CA 证书,询问我们希望与谁交换加密邮件的其他人下载、导入和信任它。通过与我们检查证书的指纹,很容易确保他们没有获得伪造的证书。
一旦他们信任了我们的 CA,加密电子邮件交换就与使用商业“专业”(中级)证书没有区别。
现在可以免费获得证书。上面的很多答案都是有效的,但我仍然选择使用证书来给像 gmail/yahoo/hotmail 这样的主机更少的理由让我进入垃圾邮件(虽然并不总是有效)。
Spf,dkim,certs ..它们都是免费的,为什么不呢?
我正在使用 postfix+letsencrypt 并且工作出色。
当人们加密他们的电子邮件时,他们只希望电子邮件通过网络传输并作为加密数据集存储在目标系统上,只有私钥持有者才能读取。
签署电子邮件是一项附加功能,应识别电子邮件的发件人。传统上,在西半球使用纸上签名,这很容易伪造。因此,重要文件需要签名证明。SMIME 的数字证书授权机构通常只证明请求者可以访问某个电子邮件地址,这可能一文不值——当然不是 20 美元/年。
对我来说,通过电子邮件发送我的私钥或在记忆棒上交换它是完全可以的。更重要的是在您真正想要安全通信时保护您的私钥。通常,每个可以访问您的 PC 的人也可以访问您的私钥!我正在使用智能卡来生成和存储私钥。钥匙永远不会离开卡片。但是,您必须信任智能卡。我确实信任我的卡,因为它是由我的团队开发的。这当然不是很多人的选择。