S/MIME 证书

S/MIME 证书具有两项功能：

• 使用收件人的公钥对邮件正文及附件进行加密，只有收件人的私钥才能解密。
• 使用发件人的私钥附加数字签名，证明邮件的发送者身份，并确保邮件在发送后未被篡改。

收件人使用发件人的公钥验证该签名。

这种保护机制在邮件层面防御网络钓鱼攻击和中间人攻击。

S/MIME 与邮件服务器上的 TLS 的工作方式不同。TLS 在邮件传输过程中保护服务器之间的连接，但一旦邮件到达收件箱，它便以未加密的形式存储在服务器上。S/MIME 对邮件本身进行加密，从邮件离开您的发件箱起，直到收件人打开为止，始终保持受保护状态。

CA/Browser Forum 的 S/MIME 基准要求自 2023 年 9 月起生效，定义了四种验证类型，决定了证书中包含哪些身份信息：

• 邮箱验证（MV）确认您对该电子邮件地址拥有控制权，除此之外不进行任何身份核查。适合个人邮件或快速部署场景。SSL Dragon 的 Sectigo Basic 和 Pro 证书属于此类别。
• 个人验证（IV）通过政府颁发的身份证件核实证书持有人的真实身份。适合需要在往来通信中证明个人身份的自由职业者和专业人士。
• 组织验证（OV）核实组织的合法存在，并在证书中显示公司名称。对于从共享地址或部门地址发送邮件的企业而言是理想选择。Sectigo Enterprise 采用此验证级别。
• 担保验证（SV）由组织向其员工颁发，同时确认公司和个人代表的身份。DigiCert Secure Email for Business 采用担保验证，是企业级部署的标准方案。

• 医疗机构在处理受保护健康信息（PHI）时，需要通过电子邮件加密满足 HIPAA 合规要求。将电子邮件证书应用于临床和行政账户即可履行该义务。
• 律师事务所和金融机构面临严格的客户保密规定，以及日益增长的商业电子邮件诈骗（BEC）攻击风险。经数字签名的电子邮件可让客户确认邮件确实来自其律师或顾问本人。
• 受 GDPR 约束的企业必须保护传输中的个人数据。使用 S/MIME 加密电子邮件提供了清晰、可审计的安全保障措施。
• 受 FDA 监管的企业通过电子提交网关（ESG）提交数据时，可使用 DigiCert 的安全电子邮件证书，该证书符合 FDA ESG 合规要求。相关证书类型，如代码签名和文档签名证书，可满足其他合规场景的需求。