邮件加密有三道坎,第一道坎是申请证书,这个很好理解,没有邮件证书就没法实现邮件加密,这是基础和基本条件。第二道坎是公钥交换,这道坎如何迈过,已在博文《邮件加密的第二道坎是公钥交换》讲清楚了,就是通过云端公钥库来实现全自动公钥交换。邮件加密的第三道坎是密钥管理,这个也已在博文《邮件加密的第三道坎是密钥管理》讲清楚了,就是通过云密钥管理服务来解决难题。
今天就讲一讲邮件加密的第一个拦路虎。1995年RSA等公司提出了S/MIME(安全/多用途互联网邮件扩展)协议V1版本,这是一个用数字签名和加密技术来解决邮件安全问题的解决方案,1998年和1999年相继出台V2/V3版本并提交IETF形成系列RFC国际标准。从那时开始,邮件证书开始用于电子邮件数字签名和加密,用户必须向CA申请邮件证书,配置到邮件客户端中使用,这个流程已经走过了21年,基本上没有任何创新,唯一的改变的是:近几年随着IE浏览器退出市场,把证书申请过程中由用户在本地电脑生成密钥对和证书请求文件改为直接由CA给用户.pfx (.p12)格式证书,因为其他浏览器不支持本地电脑生成密钥对的操作流程。
让我们回到邮件加密需求的本源,反思一下繁琐的邮件证书申请过程,用户需要的是通过邮件加密来保障邮件机密信息安全,而不是邮件证书,邮件证书只是用于邮件加密的工具,而不是用户最终需要的产品,这个说法CA界朋友听起来可能难以接受,但是,想一想为何S/MIME邮件加密技术在21年后的今天还没有得到普及推广,明明大家都知道明文邮件不安全,为何就不去用S/MIME邮件加密技术来保护邮件安全?
正是邮件加密的第一道坎-“申请证书”把用户拦在了高高的门槛外!更不用说拿到邮件证书后的许多坎了,拿到证书要发加密邮件必须事先同收件人交