这个网站可以信任吗？

不。

好吧，如果您认为GoDaddy被颠覆或可颠覆，则不是。因为即使是公布的序列号或网站也可能是 FBI 工厂；-)。

但是，如果您想要您的电子邮件，则需要连接到该站点。

在这种情况下只允许密码更改五天的原因是什么？

我们假设政府不能通过禁言令强迫 Ladar Levison 在提供的时间范围内提供新的私钥或更新他的网站列出的序列号。

检查此序列号和指纹是否有意义，因为它们打印在使用证书的同一网页上？

不，但 Ladar 可能会在整个互联网上谨慎地分发当前的连续剧。

例如，如果引用的串行更改与 Stack Exchange 上的（原始修订）帖子相比，那么这些幽灵可能正在执行中间人。尽管如此，它并不能防止 Ladar 放弃当前的私钥（假设他不会在没有手机联系和服务器访问凭据的唯一副本的情况下在落基山脉度假 5 天）。

有没有办法确保这个新站点响应。SSL 证书不受 FBI 控制？

不。当然，任何集中式电子邮件产品都需要相信提供商没有从他们身上敲出新的密钥——或者新的服务器布局和电子邮件公报不是伪装的联邦调查局。在实践中，Ladar 应该在 YouTube 视频中说出序列号（并显示在纸质标牌上），同时展示他的脸和其他“生物识别”凭据。

在这种情况下只允许密码更改五天的原因是什么？

它可能推测政府获得法院命令的速度较慢。但是如果有足够的优先级，它们可以非常快。我对美国法律知之甚少，在德国，警察在“迫在眉睫的危险”的情况下拥有额外的许可。

另一个原因可能是向用户施加压力以迅速采取行动并提供密码。这是想要向普通人施加压力的律师经常使用的策略。

编辑：正如 jpkrohling 和 Reid 所指出的，服务器没有使用Perfect forward secrecy。因此，如果将来获得他们的服务器密钥，则可以解密记录的流量。/编辑

检查此序列号和指纹是否有意义，因为它们打印在使用证书的同一网页上？

把真实的指纹写下来可能是个好主意，因为将来可能会有其他方式发布这些信息。这里的问题是，使用该站点会立即告诉服务器操作员原始密码。

网站本身的信息一文不值，但可以提高认识。

有没有办法确保这个新站点响应。SSL 证书不受 FBI 控制？

这不是根植于技术或数学的问题，而是服务器运营商的可信度问题。根据新闻报道和法庭文件，美国过去对服务器运营商施加了很大压力。似乎没有明显的理由说明这种情况可能会改变。

或者说得直截了当：

xkcd: 538 安全性

但我们必须在上下文中看到这一点：其他电子邮件提供商，尤其是大型电子邮件提供商，面临同样的压力，并且很容易让步。此外，无需额外的步骤，电子邮件是未加密的，并通过互联网在不同位置收集。

这是一个困难的话题：一方面，我们从东德知道强大的秘密政府组织是坏的。但另一方面，我们确实希望抓获罪犯并防止袭击。

在这种情况下只允许密码更改五天的原因是什么？

我能想到的唯一原因是下载的文件将是一个类似 ZIP 的文件，并受此新密码保护。我在那里没有帐户，所以我无法对此进行测试。

检查此序列号和指纹是否有意义，因为它们打印在使用证书的同一网页上？

正如其他人已经提到的那样，不。指纹应该已经发布在安全的通信渠道中，与使用信息的渠道不同。就目前而言，无法证明该信息是真实的，该信息没有被欺骗，并且该信息是由声称已发布的实体发布的（即：我们不知道它是否真的是 Lavabit 发布的，尽管 Go Daddy 这么说）。

有没有办法确保这个新站点响应。SSL 证书不受 FBI 控制？

不，此时，我们应该假设其他方可以访问密钥。确保今天完成的通信在未来无法解密的唯一方法是让服务器所有者将其配置为支持“前向保密”，而这项新服务并非如此。因此，可以安全地假设某些实体正在存储该服务的所有流量，并可能在未来请求新密钥，从而允许它们解密整个流量。