我正在考虑获得一个 S/MIME 证书来验证我的姓名和电子邮件地址。我一直在试图确定如果我这样做了,哪些信息会“泄露”。
S/MIME 上的维基百科页面说:
根据 CA 的政策,证书及其所有内容可能会公开发布以供参考和验证。这使得姓名和电子邮件地址可供所有人查看和搜索。其他 CA 仅发布序列号和撤销状态,不包括任何个人信息。
这具体指的是什么?CRL 的?或者这是否严重意味着某些 CA 具有某种公共接口来搜索已颁发的证书和其中包含的信息?
我什至如何找出给定 CA 的策略是什么?我了解了认证实践声明和证书政策,并阅读了我选择的 CA 的,但它们不包含这些信息(或者我找不到它)。
我的姓名和电子邮件地址几乎不是秘密信息,但我不希望它们被公开搜索。当然,公共证书本身将包含它们。
具体来说,我正在查看 GlobalSign 及其 PersonalSign 2 证书。是的,我确实联系了他们的支持,但他们没有回应(至少现在还没有)。
FWIW,我查看了他们的 CRL 和 OCSP 信息以及用户协议。这是我能够确定的。
UA 声明他们有权出于您无法控制的任何原因以及您要求撤销的任何原因撤销您的证书。通常情况下,他们永远不会在没有所有者要求的情况下撤销证书,所以这很可能是一个低概率事件。如果你撤销它,那是因为它被泄露了,然后它将在某个地方的撤销列表中。
为什么撤销很重要?
因为这是我能想到的唯一一个你的证书有一些公开资料的情况。
CRL - 证书吊销列表 - 包含证书 ID 列表,而不是原始证书。
OCSP - 在线证书状态协议 - 允许实时查询当前证书状态。但是,您需要证书 ID 才能进行查询。
在这两种情况下,任何人都无法获得嵌入证书中的所有信息。因此,不会通过这些暴露电子邮件地址。
此外,看起来他们有一个企业产品,公司可以为员工运行自己的子 CA。我没有研究过这个产品,但是,它可能包含一个“公共”证书特性数据库。由于这相当于员工的内部电话簿,因此我不会感到惊讶。
尽管您可能想继续质疑他们关于一般证书发布的政策,但我找不到任何看起来像您在问题中提到的内容。发布颁发的证书对于任何证书颁发机构来说都是一种不寻常的做法。
我想说这是维基百科可能有误导性信息的情况之一。