我知道至少有一个拥有根 CA 的政府：

荷兰的状态。据我所知，他们在领取驾驶执照时不会使用它来识别人。

我认为爱沙尼亚有一个系统，所有居民都有一张包含证书的卡。

为了补充Sjoerd 的回答：一些国家甚至给每个公民和居民自己的证书，存储在 ICC 中，这也是主要的身份证件。为了说明，这是我的（以及我的 macOS 计算机信任库中的两个 CA）。

它们用于政府机构、邮局、药店，甚至公司。许多人还在线使用它们（使用智能卡读卡器和浏览器扩展程序）来报税、访问官方通信或请求/检查社会福利。

• 是否有任何理由（从安全角度）政府、银行或信用卡公司不应成为 PKI 的一部分？

大多数安全专业人员并不热衷于将企业和全球政府利益混合在一起，而流氓 CA（无论所有者是谁）可能造成的损害是非常真实的，因此这是主要的安全风险。

有一些（如 CNNIC），但社区并不太热衷于它们，并且由于被证明滥用，一些已从流行的证书商店中撤消（这与杀死它们一样好） 。

也就是说，没有太多的原因可能主要是非技术性的，进入的障碍是他们必须保持其安全性，并且可能必须进行定期审核才能保持有资格进入某些名单（我想大多数人都不希望除非他们收取一定的费用以使其在商业上可行），例如 Mozilla Firefox 默认的受信任 CA 列表，并且还被信任不会签署他们无权获得的其他证书。证书固定有帮助（现在用现代浏览器伪造 google.com 很棘手），但这并不能阻止他们假装是我的银行等，如果他们受到攻击。此外，如果他们受到损害，还会增加声誉风险，从而降低吸引力。

另请参阅除了这 46 个根证书之外，我的计算机上是否还有其他信任根？其中引用了香港邮政局的根证书。

此页面列出了主要商店以及他们必须遵循的原则和标准也可能会有所帮助。

案例研究：意大利

意大利提供了一个众所周知的根 CA 列表。该名单主要由银行或官方专业协会制定。

官方列表维护在这个地址（没有找到英文版本），这里列出了英文的官方要求。

OP 合法地询问的是政府本身或受信任的机构是否可以为所有人发布 X.509 证书以供公众使用，例如签署您自己的电子邮件。

谈到意大利，主要是其他欧盟国家，这主要是成本/收益选择。中央政府通常没有大量预算。

签发护照与维护数字证书不同。护照是政府向其大多数人发放的允许国际旅行的东西，考虑到现代客流，电子邮件签名证书仅被一小部分市场使用。

上面列出的商业公司需要人们申请数字身份证来支持他们复杂和关键的基础设施。他们会检查你的政府颁发的 ID 以将特定的数字身份（公钥）绑定到政府颁发的身份，简单地说就是你，但随后将我们引向哲学领域：“我们是谁？是什么关系个人和他的身份之间的关系？使用合法名称是否违法？

在意大利，再次针对某种统一数字 ID进行了更具体的操作，称为SPID（代名词速度，首字母缩略词Sistema Pubblico per l'Identità Digitale，数字身份公共系统），并使用X.509 证书实现和 SAML 令牌交换。这些证书只能用于身份验证。不幸的是，整个昂贵的项目将过得很艰难。

##Shattered Italian digital IDs（pre-SPID era） 到目前为止，所有政府机构都试图实施自己的数字 ID 系统，以允许人们使用大量在线服务，但由于缺乏单一的政府推动的数字 ID 标准，我们只能做市场的碎片化。

20 个地区实施了“CRS”（Carta Regionale Servizi，区域健康卡），这基本上是您的健康卡，使用智能卡令牌增强，维基百科没有显示其中的照片（但实际上，想想同一个塑料标签上的芯片你现在发现）。它包含仅在您所在地区有效（喘气！）的 SSL 客户端证书，因此，如果您搬迁，尽管您的税码/社会安全号码在您的整个生命中都不会改变，但您需要更换您的卡。

官方认可的 ID 的另一种实现方式是数字签名。对，没错！X.509 支持的不可否认证书存储在......嗯......这就是重点！最初开发这些签名是为了赋予 PDF/TXT 文件以法律价值，例如公证人或政府行为，以及私人合同。它们需要被部署到智能卡或 USB/SIM 令牌上，但它们的使用困难（需要带有读卡器、驱动程序和软件的工作站，这让 OSS 社区感到愤怒）迫使当权者批准 HSM。长话短说，它们仅在现在禁止或不切实际的手写签名的特定监管环境中使用。

认证的电子邮件系统和发件人的数字确定性

然后是经过认证的电子邮件。正在接受调查的国家的第三次灾难。OP 要求的是他的电子邮件的数字证书，对吗？是吗？意大利人非常聪明，他们用PEC（Posta Elettronica Certificata，电子认证邮件）重新发明了自己的 SMTP。PEC快速课程：

• PEC 地址空间与互联网邮件 (RFC822) 空间分开。它们符合 RFC 并通过 SMTP（加密 SMTP）传输，但基本上是原始形式的 PEC 地址，不接受来自 Internet 主机的邮件，只能发送到 PEC 地址空间。这已经改变，因为现在的例外是 PEC 到电子邮件的消息未完全认证
• ISP 提供的交付证明可以要求在官方行为和法院中接受
• ISP 还通过公共注册表提供地址与身份的绑定
• 私钥由 ISP 持有。你不签署你的消息，他们用你的签名。害怕！！！！

例如，如果您想正式询问真蒂洛尼总统先生，请发送消息至presidenza@pec.governo.it他们不能否认已收到。

现在到 SPID。在伦齐总统执政期间，意大利终于试图定义一个“统治所有人的身份系统”。SPID 旨在允许公民使用一个 ID 访问所有在线公共系统。SPID 目前是仅由 4 家公司发布的用户名/密码/OTP 身份验证。政府机构被授权支持面向公众的服务的 SPID。在不久的将来，我们预计 SPID 将用于上学，因为您已经在有或没有 SPID 的情况下离线或在线注册您孩子的学校。

所有的数字 ID 系统都有一个问题：人们在日常生活中不需要它们，这就是他们即使有空也不注册的原因。与其他国家/地区相比，该国家/地区的数字字母顺序非常低，除一个以外的所有服务/办公室，如果没有 SPID 数字 ID，显然没有英文本地化可用。

数字身份证项目

意大利可以自豪地成为第一个开发（不能与部署混淆）电子身份证的欧洲国家，该电子身份证由相同的电子护照技术制成，并为每个人提供 X.509 证书。从 1994 年开始！！！！但由于它从未在全国范围内部署，公民必须要么获得纸质身份证（欧盟在 2026 年截止日期前成功弃用希腊纸质身份证），要么搬迁到米兰和罗马，这是唯一发行塑料生物识别身份证的城市，SPID项目开始兴起并取得成功。

嗯... SPID 还有另一个实际原因。ID 只能发给自然人，而 SPID 可以发给企业（即公司身份）。

最后，仅在 2016 年，CIE 塑料生物识别 ID 才在全国范围内部署。并非所有文件都被替换，但塑料文件是新发行身份证的唯一合法选择。

这允许开发Accedi con CIE（使用数字 ID 输入）项目。您可以使用塑料 ID 中嵌入的 X.509 证书登录。许多数字服务可用于审查/纳税、访问健康和劳工相关信息等。

那么，从 2016 年开始，CIE 卡中的 X.509 证书就是意大利公民的（其中之一）数字身份。

国际信任：跨境身份

欧盟正在尝试使数字签名和数字身份证在各国之间具有互操作性。但是，直到在整个欧洲建立一个受信任的 CA 列表之前，在某个国家/地区颁发的证书不一定在另一个国家/地区受信任。

eIDAS 指令正在缓解这种情况。数字身份证在所有欧盟国家都可以使用需要很多时间，但目标是在当前的“独特[货币]市场”上建立一个独特的“信任市场”。

截至 2020 年，我们的案例研究意大利已加入 eIDAS 项目，您可以同时使用 SPID 和 CIE 卡进入任何 eIDAS 服务。一个例子是欧洲通票。

离线与在线信任

数字 ID与 Microsoft 和 Mozilla 可信证书关系不大。如果您在浏览器的信任列表中看到某个 CA，这并不意味着该 CA 有权颁发对签署税务局文件有效的证书。不，这意味着 CA 可以颁发证书，说明机器可以“正式”响应指向“https://www.example.org”的请求。

PKI 系统本身的强度和复杂性在于缺乏单一的中央信任列表。这种缺乏是互联网民主的唯一手段，但我们又来了：CA 必须在所有列表中加入才能变得“可操作”。

例如，我想询问来自美洲、东亚和大洋洲的用户，他们的计算机是否信任以下证书：

• 序列号： 35 d9 75 94 d1 b6 75 4d b6 36 42 cb b5 ea cf cf
• 主题 DN：序列号 = 97103420580,SN = Sicurezza,G = Ufficio,O = ,DigitPA,C = IT
• DN 颁发：CN = Ufficio Sicurezza,O = DigitPA,C = IT
• 有效期至：2020-05-17

提示：我的 Windows 10 说“不”

但该证书是与政府相关的官方证书。

结论

我提供了一个例子，中央政府或政府信任的银行向人们颁发 X.509 证书。对我来说，政府没有真正的充分理由不成为 CA。

OP 不应将“纸质”ID 的法律有效性与可互操作的“数字 ID”的商业附加值混淆，后者实际上是物有所值的商业商品。

披露：我的公司在许多欧洲法律实体的税务和合规环境中积极开展工作，我们的客户（金融运营商）依法必须获取并正确使用数字签名。我每天都使用数字身份证工作，所以我声称自己是该主题的“专家”。