我还没有找到不需要个人信息来获取 DV 证书的 CA。这是因为所有主要的浏览器和操作系统都有拒绝不需要个人信息的 CA 的政策吗?或者是否还有其他原因导致缺乏对隐私友好的 CA?
我想将我的个人 Web 服务器的自签名 SSL 证书替换为由值得信赖的证书颁发机构签名的证书。我了解某些用例需要彻底的身份调查,但我只需要一个基本的域验证 (DV) 证书。我不想分享与提供端到端加密供个人使用无关的个人详细信息(例如,我的家庭住址和电话号码)。
我不是在寻找盲目信任域所有权声明的 CA——我希望他们拥有强大的域验证实践。我只是在寻找一个不需要域所有权证明之外的信息的 CA。
只要我能证明我拥有该域,他们为什么要关心我的名字或我的住所?
他们是否想要这些信息,以便如果我对他们颁发的证书做了“坏事”,他们可以起诉我?政府是否强迫他们为执法或外国情报目的收集这些信息?
虽然目前似乎没有任何现有的隐私友好型 CA,但所有证据表明,最近宣布 的 Let's Encrypt CA(于 2015 年夏季推出)不会要求用户提供个人信息。这可能会改变,但我怀疑它会考虑到EFF 的参与。
如果 Let's Encrypt 在启动时不会收集任何个人信息,那么这表明现有的 CA 从根本上不需要您的个人信息,并且他们要求提供这些信息只是因为他们可以。
简短的回答是否定的,身份证明 (EOI) 不是强制性的,也不是政府(至少据我所知)或互联网标准强加给他们的。
但是考虑到 CA 的产品是信任的。人们相信 CA 只会向受信任站点的合法所有者颁发证书。EOI 是信任链的一部分。CA 可能能够重新设计证书颁发流程以满足您的特定需求,但事实是大多数需要 SSL 证书的人并不关心,尤其是在 whois 记录中已经确定所有者的情况下。
顺便说一下,这里的相关标准是 RFC 3647,它涵盖了证书策略和证书实践声明。虽然此 RFC 包含有关这些政策和支持文件内容的大量详细信息,但它并未规定签发过程中的最低身份识别级别。