是否有任何真正的理由为您自己的电子邮件安全使用第三方证书颁发机构?
(意思是使用S / MIME)
我发现我能够成为自己的CAuthority并创建自己的自签名根证书......并且它们可以在我的机器和移动设备上正常安装。
是否有令人信服的理由使用第三方的付费证书而不是我控制的自己生成和签名的证书?
我一直在想 - 我最信任的人或实体拥有我经过验证的加密电子邮件的权限......是我!...为什么我会让我的实体无法验证进入该通信链? - 如果我发送电子邮件的人是其他认识我并信任我的人......?我为什么要付钱给他们?
我能理解,如果沟通是在我的商业网站与不了解我并且正在交易金钱的未知外部个人之间进行的,那么对于个人电子邮件?家人和知名朋友或共同工作者之间?
是否还有一些我不了解的关于公钥 - 私钥加密的内容,这使得经过验证的大型第三方能够为我提供值得付费的证书?
我理解在处理网站上的商务或使用您的安全连接信任网站时,需要SSL第三方验证。但个人之间呢?它看起来与众不同......你个人认识的人更加不同。否?
答案 0 :(得分:8)
使用外部CA的唯一原因是您和另一方之间存在共享信任根。如果您控制域中的所有计算机,那么根本没有理由您不能使用自己的CA.我们拥有自己的CA for Exchange。它实际上比外部CA容易得多,因为服务器和客户端将自动获得CA证书。
答案 1 :(得分:1)
这篇文章很好地描述了它:
http://www.davidpashley.com/articles/cert-authority.html
这个也非常好 - 看看侧栏评论:
http://www.area536.com/projects/be-your-own-certificate-authority-with-openssl/
他没有特别提到SMIME电子邮件 - 但我认为它属于这一类。
我认为,在我的情况下(小型个人安全)作为您自己的CA是一种有效且可行的方法 - 只要您能够围绕流程进行操作并仔细了解限制即可。< / p>
我还是会等待有人在这里说服我...谢谢所有回答每个人都有帮助!
答案 2 :(得分:0)
在我看来,使用自签名CA是绝对有效的选择。此CA颁发并用于电子邮件加密的证书的工作方式与从全局受信任的CA颁发的证书相同,但最终用户必须手动信任CA一次。
这意味着关键步骤是信任自签名CA.但是,您可以确保自签名CA正确无误,此步骤比依赖您必须信任但无法选择的全球信托公司更安全。
例如,我们在网上发布我们的公共CA证书,询问其他我们想要与之交换加密邮件的人,以便下载,导入和信任它。通过与我们一起检查证书的指纹,很容易确保他们没有获得伪造的证书。
一旦他们信任我们的CA,加密的电子邮件交换与使用商业&#34;专业&#34;没有区别。 (中级)证书。
答案 3 :(得分:-1)
现在可以免费获得证书。上面的很多答案都是有效的,但我仍然选择使用证书给主机像gmail / yahoo / hotmail这样的理由让我陷入垃圾邮件(尽管不会一直工作)。
Spf,dkim,certs ..他们都是免费的,为什么不呢?
我使用postfix + letsencrypt并且工作得非常出色。
答案 4 :(得分:-3)
当人们加密他们的电子邮件时,他们只希望电子邮件通过网络传输并作为加密数据集存储在目标系统上,只有私钥持有者才能读取。
签署电子邮件是一项附加功能,可以识别电子邮件的发件人。传统上,在西半球使用纸上的签名,这很容易伪造。因此,重要文件需要对签字进行认证。 SMIME的数字证书授权人通常只证明请求者可以访问某个电子邮件地址,这可能是没有价值的 - 当然不是20美元/年。
对我来说,通过电子邮件发送我的私钥或在记忆棒上交换它是完全可以的。更重要的是在您真正需要安全通信时保护您的私钥。通常,每个可以访问您PC的人都可以访问您的私钥!我正在使用智能卡生成并存储私钥。钥匙永远不会离开卡。但是,您必须信任智能卡。我相信我的卡,因为它是由我的团队开发的。这当然不是很多人的选择。