密信公开课 - 第八课《加密证书和签名证书》

我们在第五课讲了为了解决加密的易用性和签名的法律效力的问题，密信会自动给用户配置两张证书，一张是加密证书，一张是签名证书。

         今天再补充讲一下这两种证书的不同。

         新用户成功登录邮箱后会自动配置一张有效期为39个月的加密证书和一张13个月的签名证书，如下图所示，加密证书的密钥用途只有加密，而签名证书的密钥用途有数字签名和不可否认两个属性。这两种证书分别用于邮件加密和邮件签名，并在邮件签名中附上时间戳签名。

         如果用户申请了V2/V3或V4认证，则系统还会自动配置一张V2签名证书、V3签名证书和/或V4签名证书，这些都是签名证书，加密证书只有一张，而签名证书可以有多张，也可以有多张不同语言的签名证书。

         由于签名证书只在设备本地生成证书和保存私钥的，所以，用户使用了新设备就会生成一张新的签名证书，但是加密证书还是原先那张，以确保所有设备都正常解密加密邮件。

        由于签名证书是绑定设备的，所以系统会使用签名证书加密发送一封新设备登录密信的加密通知邮件，邮件主题为：New device used MeSince，以提醒用户注意有新设备使用密信登录用户邮箱，这样能让用户及时发现自己的邮箱是否被人使用密信非法登录。此提醒邮件无论是非法登录者还是合法登录者在当前设备都是打不开的，仅限于在此之前登录的设备才能解密查看。所以，你在登录新设备是看到这封无法解密的邮件是正常的。