SSL/TLS 保护电子邮件在您的计算机和 Google 的服务器之间传输时不被篡改或窃听，并且可能在进一步转发给最终收件人的过程中。这就是它所做的一切。

PGP 做得更多。如果您要发送已签名的电子邮件，收件人可以验证该电子邮件是由您发送的，并且在您编写电子邮件和他们收到电子邮件之间的任何时间点都没有被篡改。如果您要发送加密的电子邮件，您就会知道除了预期的收件人之外没有人可以阅读它 - 不是谷歌，不是 NSA，没有人。这就是为什么它被称为“端到端加密”。

但是，电子邮件元数据（发件人、收件人、主题、时间戳记）仍以明文形式发送，PGP 对此无能为力。所以一般来说，最好通过 TLS 安全连接发送 PGP 加密的电子邮件。

与潜在的 0-days相比，使用 SSL/TLS 的风险更大，因为已经存在可以绕过 TLS 的已知攻击。至少从 Def Con 17 开始，Moxie Marlinspike 就一直在进行Def Con 演示。

最著名的工具之一是sslstrip，由 Marlinspike 创建。

Sslstrip 之所以有效，是因为 TLS 在证书颁发机构信任模型上运行，这为潜在的MITM对手提供了伪造数字证书并将其提供给毫无戒心的用户的机会。用户的浏览器会告诉他们该网站可能不安全，而且大多数人都会继续。如果使用得当，TLS 被认为是安全的，但SSLv2和SSLv3等旧版本已被证明是不安全的。

这是有问题的，因为 TLS 的默认行为是在连接的一端不支持 TLS 时回退到 SSLv3。这样，攻击者可以在用户不知情的情况下强制用户连接到 SSLv3。补丁已发布，但并不能缓解问题，因为必须修补连接的两端。这意味着除非您完全禁用 SSLv3，否则您的加密通信仍然存在风险。

使用 PGP/GPG，进入门槛要高得多。您不能简单地启动您的网络浏览器并开始输入。事实上，PGP 根本不用于加密流量。它用于在您的计算机上加密数据，然后您可以发送这些数据。多年来，它基本上保持不变，并且经常被抱怨难以为初学者设置。但是，如果使用得当，它是一种非常安全的加密通信方法。事实上如此安全，埃德斯诺登建议它避开美国国家安全局。

TLS 和 PGP最大的区别在于，使用 PGP，数据在两端都是安全的，而在 TLS 中，数据仅在传输过程中是安全的。

充分利用 PGP 的关键是生成一个好的密钥，建立您的信任网络，确保您的私钥安全，并假设您的机器是否受到攻击，您的私钥也是如此。（然后您将使用先前生成的密钥撤销证书来使密钥无效）

有关充分利用 PGP/GPG 的更多信息，请尝试查看有关它的综合资源。这是多年来创造的众多作品之一。

1. 不可否认性——没有人可以伪造您对消息的私钥签名，
2. 静态加密——消息不仅在传输中被加密，而且在静态时也被加密。
3. 邮件通过 SSL/TLS 的所有好处没有很多问题（例如 Heart Bleed 和 POODLE）

仅举三例。

HTTPS 仅保护您与 Google 之间的电子邮件。从那时起，它会以未加密的方式传输。这意味着您的电子邮件可以通过以下方式阅读：

• 谷歌（他们承认他们读过它！）
• Google 与收件人的邮件服务之间的任何路由器
• 收件人邮件服务器
• 当接收者也没有使用 https 时，他们的邮件服务器和他们之间的任何路由器。

然而，PGP 提供端到端加密。只有收件人可以解密电子邮件。所有中间人都只能中继加密的文本而无法读取它。