SSL 加密協定使用的憑證 vs. 電子郵件數位簽章使用的憑證 & 用戶端 TLS 使用的憑證
在電子郵件會用到的憑證分為三種,一種是 SSL 憑證、一種是數位簽章的憑證、。一種是用戶端 TLS 憑證。平平都是憑證,差別在哪裡?
安裝於郵件伺服器上面,適用於伺服器與用戶端之間的連線。郵件伺服器藉著有效的 SSL 憑證才能向用戶端證明自己的身份並做加密連線。
安裝於用戶端的郵件軟體內,用於寄信端和收信端往返電子郵件之內。範例:
Ⅰ. A 寄信給 B 時,寄出的信件中有 A 的數位簽章證明 A 是 A;A 發出屬於 A 的憑證供 B 在回信時對信件加密之用。
Ⅱ. B 回信給 A 時,寄出的信件中有屬於 B 的數位簽章證明 B 是 B; B 發出屬於 B 的憑證供 A 在日後回信時對信件加密之用;B 會用 A 發出的憑證(A 的憑證會被自動匯入 B 的郵件軟體中)對回信內容作加密的動作
Ⅲ. A 在收到 B 的回覆時,A 必須使用自己的私密金鑰開啟被加密的郵件;同時 B 的憑證會被自動匯入 A 的郵件軟體中供 A 日後寫信給 B 時加密之用。安裝於用戶端的郵件軟體內或 USB Key 硬體上,適用於用戶端向郵件伺服器證明自己身分的時候,如同輸入密碼一般。用戶端先從郵件伺服器端得到一個憑證檔案 (.p12),安裝在郵件軟體或 USB Key 上之後並在郵件軟體上做好設定,在登入郵件伺服器時,會自動做身份認證交涉。
以上,SSL 憑證和數位簽章都是必須由受信任的憑證簽署單位 (Trusted CA),例如: Verysign, Comodo等等,簽發才有公信力。若是由使用者自的作業系統或郵件伺服器本身簽發的憑證對身份證明沒有作用;用戶端 TLS 憑證則是由 EVO 郵件伺服器內部發出。這些都設定好時,郵件伺服器,用戶端,收信端在資訊傳輸之間都受到保護。
安裝及設定順序呢?
1. 郵件伺服器先裝好時就為郵件伺服器申請 SSL 憑證;
2. 使用者郵件帳戶建置後,發出 TLS 憑證給該用戶端,日後登入時,可使用 TLS 憑證登入,多加一層資安保障。
3. 使用者在與網路上其他人做信件來往時,可相互的做數位簽章的交換,藉此也能做到信件的加密。