为什么扩展验证证书不与电子邮件一起使用？

Question

扩展验证证书是颁发给法律实体的身份证书。这意味着由该证书签名的任何内容都“保证”来自实体，而不仅仅是来自域名。

由于网络钓鱼邮件是一件大事，而且(至少在我看来)越来越流行，为什么公司不使用这些证书签署电子邮件(并将签名作为附件)？

信任基础设施(主要是)已经到位，并且验证可以由使用OS或浏览器证书存储的电子邮件客户端公平透明地处理。

我想，这可能会使许多“24小时内输入银行凭证，否则账户将被删除”的电子邮件和其他更精巧的钓鱼电子邮件，基本上是无用的钓鱼者。

Answer 1

根据EV (SSL)在1.6.5 (2017年7月) 来自出租车论坛中的指导方针(警告:和其他人一样，他们现在已经“优化”了他们的网站，以尽可能少地显示数据，因此，要找到任何有用的东西，您就必须在下拉式中卑躬屈膝)：

这个版本的指南只满足对EV证书的要求，这些证书将用于Internet上的SSL/TLS身份验证和代码签名。对S/MIME、时间戳、VoIP、IM、Web服务等的类似要求可能会在以后的版本中涵盖。

虽然EV指南没有提到任何关于ExtendedKeyUsage的内容，但是在基线要求(通过引用合并)中，7.1.2.3f要求它必须包含clientAuth和/或serverAuth，并且可能包含emailProtection。因此，我认为CA成员可以在不违反规则的情况下发布包括EV证书在内的电子邮件。OTOH我怀疑目前有任何电子邮件软件检查EV，即使它支持X.509 (S/MIME)，因为这是预料不到的。

当然，这是常见的鸡蛋蛋问题；合法的电子邮件发件人在至少有相当一部分的收件人使用电子邮件软件或支持它的系统之前，不会想要使用它，而且至少大多数收件人甚至不会去寻找这样的支持，只要没有人发送。如果像gmail这样的大公司推动这一点的话，可能会有一些牵引力，就像一些浏览器一直在推动web/HTTPS加密技术的改进一样。

Answer 2

现在已经有一些验证方法可以在电子邮件及其发送域名之间建立安全连接。其中三个是SPF和DKIM，还有S/哑剧。

由于驻留在同一域中的网站和/或邮件服务器可以被EV认证，这意味着一旦您建立了该连接，您就可以确保组织确实执行了该请求。

唯一的不足是邮件客户端需要以某种方式向用户显示SPF/DKIM验证的结果及其相关的域名。

对电子邮件实施EV只会增加肤色，也会增加公司的成本。