9

自分の電子メール セキュリティにサード パーティの認証局を使用する本当の理由はありますか?

( S/MIME を使用する意味)

私は自分自身の CAuthority になり、独自の自己署名ルート証明書を作成できることを発見しました...そして、それらは自分のマシンやモバイル デバイスにインストールしても問題なく動作します。

私が管理する自己生成および署名済み証明書の代わりに、サードパーティの有料証明書を使用するやむを得ない理由はありますか?

私は考え続けています - 私が検証済みの暗号化された電子メールの権限を持って最も信頼している人物またはエンティティは... 私です!...なぜ私が検証できない追加のエンティティをその通信チェーンに入れるのでしょうか? - 私が電子メールを送信している相手が、私を知っていて、それが私であると信頼している他の人である場合..? そして、なぜ私はそれらを支払うのでしょうか?

通信が私の商用 Web サイトと、私を知らずにお金を取引している見知らぬ外部の個人との間で行われているかどうかは理解できますが、個人的な電子メールの場合はどうでしょうか? 家族と有名な友人や同僚の間で?

公開鍵と秘密鍵の暗号化について、検証済みの大きなサードパーティに支払う価値のある証明書を提供してもらうことについて、他に理解できないことはありますか?

Web サイトで商取引を処理するとき、または安全な接続で Web サイトを信頼するときに、SSL サードパーティ検証が必要であることを理解しています。でも個人間?それは異なっているように見えます...あなたが個人的に知っている個人はさらに異なっています。いいえ?

4

5 に答える 5

9

外部CAを使用する唯一の理由は、あなたと他の当事者との間に共有の信頼ルートがあるようにするためです。ドメイン内などのすべてのマシンを制御している場合、独自のCAを使用できない理由はまったくありません。Exchange用の独自のドメインCAがあります。サーバーとクライアントがCA証明書を自動的に取得するため、実際には外部CAよりもはるかに簡単です。

于 2012-08-16T22:22:07.113 に答える
1

この記事はそれをかなりよく説明しています:

http://www.davidpashley.com/articles/cert-authority.html

これも本当に良いです - サイドバーの解説を見てください:

http://www.area536.com/projects/be-your-own-certificate-authority-with-openssl/

彼は特に SMIME 電子メールについて言及していませんが、このカテゴリに該当すると思います。

私の場合(小さな個人のセキュリティ)、自分のCAであることは、プロセスに頭を悩ませ、制限を注意深く理解して行うことができる限り、有効で問題のない方法だと思います。

ここで誰かが私を納得させるのをまだ待っています...すべての回答に感謝します。

于 2012-08-17T15:29:02.803 に答える
0

私の意見では、自己署名 CA を使用することは絶対に有効なオプションです。この CA によって発行され、電子メールの暗号化に使用される証明書は、グローバルに信頼された CA から発行された場合と同じように機能しますが、エンド ユーザーが一度 CA を手動で信頼する必要があるという 1 つの例外があります。

これは、自己署名 CA を信頼することが重要なステップであることを意味します。ただし、自己署名 CA が正しいことを確認できます。この手順は、信頼する必要があるが選択の余地がないグローバルな信頼会社に依存するよりも安全です。

たとえば、公開 CA 証明書を Web 上に公開し、暗号化されたメールを交換したい他の人にダウンロード、インポート、信頼するよう依頼します。証明書の指紋を確認することで、偽造された証明書を取得していないことを簡単に確認できます。

CA が信頼されると、暗号化された電子メール交換は、商用の「プロフェッショナル」(中間) 証明書を使用するのと何ら変わりはありません。

于 2016-12-21T15:44:46.870 に答える
-1

現在、証明書は無料で取得できます。上記の回答の多くは有効ですが、証明書を使用して、gmail/yahoo/hotmail などのホストにスパムを送信する理由を少なくすることを選択しています (ただし、常に機能するとは限りません)。

Spf、dkim、certs..それらはすべて無料です。

私は postfix+letsencrypt を使用しており、見事に機能しています。

于 2016-12-21T15:53:24.037 に答える
-3

電子メールを暗号化する場合、電子メールを Web 経由で転送し、秘密鍵の所有者のみが読み取ることができる暗号化されたデータ セットとしてターゲット システムに格納することを望んでいます。

電子メールの署名は、電子メールの送信者を識別する追加機能です。西半球では伝統的に、偽造しやすい紙の署名が使用されます。したがって、重要な文書には署名の証明が必要でした。通常、SMIME のデジタル認証局は、要求者が特定の電子メール アドレスにアクセスしたことのみを証明しますが、これはおそらく何の価値もありません。

私にとっては、秘密鍵を電子メールで送信したり、メモリ スティックで交換したりしてもまったく問題ありません。安全な通信が本当に必要な場合は、秘密鍵を保護することがさらに重要です。通常、あなたの PC にアクセスできる人は誰でも、あなたの秘密鍵にもアクセスできます。秘密鍵の生成と保存にスマート カードを使用しています。キーがカードから離れることはありません。ただし、スマートカードを信頼する必要があります。私のチームによって開発されたので、私は自分のカードを信頼しています。これは確かに、多くの人が選択できるオプションではありません。

于 2014-07-01T16:19:19.983 に答える