如何获取个人使用的 Digital Certificate 用于邮件签名和加密

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2501 天前的主题，其中的信息可能已经有所发展或是发生改变。

迫于好奇，想给自己发送的邮件进行签名，探索了下 macOS keychain，My Certificates 里只有注册 Apple ID 的那个邮箱，似乎无法为其他邮箱新建 certificate。

网上搜了下，大多数提到的是使用一个免费服务 Comodo，但它现在改名也不支持免费个人服务了，年费 US$27 起。我收到的 signed email 大多数来自 Comodo，也有来自一家国产公司 MeSince （密信）/StartCom，它提供免费服务，2018 年还发了关于加密的宣言，但不知道其是否靠谱。

请问有什么靠谱的，现代的，最好是免费的 personal digital certificate 服务吗？如果没有合适的话我打算去试试本地 gov 提供的，大概四十多人民币一年。

第 1 条附言 2019-01-14 10:55:32 +08:00

@essethon:
搜了一下，http://kb.mozillazine.org/Getting_an_SMIME_certificate

这里面应该还有几个链接可以申请免费 S/MIME 证书。
我刚刚（ 20190113 ）从 InstantSSL 的链接（ https://www.instantssl.com/ssl-certificate-products/free-email-certificate.html ）申请到了

Comodo

Digital

免费

加密

12 条回复 2019-12-17 00:29:06 +08:00

StederLee

2018-12-17 16:31:32 +08:00

Comodo 改名成 Sectigo 了，而且$27 的价格是三年付的价格，有点小贵。

关于免费的证书，Google 一下没有什么结果，然后跑去百度了一下，发现国内的一家叫数安时代的有提供免费的证书，试了一下确实可以申请到。See: https://www.trustauth.cn/email-clientcert

And, MeSince 是属于 WoSign 的，本来 WoSign 也是提供免费的证书的，但是估计为了推自己的 MeSince 所以就没有了，虽然都是免费的。

如果是对邮件服务商的不信任，我觉得可以考虑自建邮件服务器，邮件签名加密的通用性我看了一下还是觉得不太好，也不是所有的客户端都支持的。

momocraft

2018-12-17 16:45:36 +08:00

密码学的两种常见用途:

1 保证申请证书的实体是（签发证书那个机构确认过的实体），比如公司证书的 EV
2 保证流传中不被不被察觉地修改。这部分由数学保证，不需要一个组织来背书。

如果你只要 2 其实不需要一个 CA，(基于组织都不可信的观点) 线下交换 PGP public key 都更安全，但不抗 5 刀扳手攻击 (xkcd 538)