Перше питання, звичайно ж - «навіщо». Поштові протоколи інтернету були розроблені дуже давно, і тому не завжди вони враховують сучасні реалії. Наприклад, будь-яка людина (в т.ч. спамер або зловмисник) може відіслати електронного листа від вашого імені!

Цифровий сертифікат дозволяє ставити електронний підпис на e-mail, тим самим підтверджуючи, що лист було надіслано саме з цієї адреси, а також те, що після підпису (в процесі проходження по інтернету) лист не змінювалося. Тому я вважаю за краще підписувати всі вихідні листи. Крім того, можливо, спам-фільтри, бачачи, що лист підписаний, з меншою часткою ймовірності сприймуть його як спам (хоча це лише здогадка).

Я розповім про сертифікатах S / MIME з практичної точки зору:

1. як згенерувати і отримати сертифікат;
2. як завантажити його в поштову програму;
3. як використовувати сертифікат для підпису;
4. як виглядають листи з цифровим підписом.

отримання сертифікату

Є кілька сайтів, де можна безкоштовно отримати сертифікат. У минулому я використав Thawte.com , Але по-перше, сайт (і процес отримання) досить заплутаний, а по-друге, неможливо отримати сертифікат, використовуючи браузер Internet Explorer 8 (зате підтримується Netscape Navigator!).

Tiaurus радив отримати сертифікат на shtirlitz.org.ua , Але у мене немає ні краплі довіри до таких «засвідчує центрам». Тому я рекомендую скористатися одним з найбільших сайтів, що працюють з сертифікатами - Comodo. Процес отримання сертифікату на цьому сайті дуже простий - проводиться в два кроки за хвилину-дві. Отже:

1. Відкриваємо посилання:
   http://www.comodo.com/products/certificate_services/email_certificate.html
   Якщо ви збираєтеся використовувати сертифікат з поштовим клієнтом Outlook або Windows Live Mail (спадкоємець Outlook Express), рекомендую проводити операції в Internet Explorer (тоді сертифікати «самі» і відразу з'являться в цих програмах).
2. Натискаємо на велику кнопку «GET YOUR FREE EMAIL CERT NOW!». Відкривається нова сторінка.
3. Якщо ви використовуєте Internet Explorer, то отримаєте попередження про запит від сайту. Потрібно в меню «Сервис → Властивості оглядача» перейти на вкладку «Безпека», вибрати вгорі «Надійні вузли», натиснути кнопку «Вузли» і додати поточний сайт в список довірених:
   
4. Заповнюємо ім'я, прізвище, адресу е-мейл, вибираємо країну зі списку. Вводимо пароль на скасування сертифіката. Якщо з якоїсь причини ваш ключ буде скомпроментіровалі (наприклад, вкрадений), можна буде відкликати (зробити недійсним) ваш сертифікат, за допомогою цього пароля. Можна також включити пташку, щоб вам надсилали всякі новини і важливі повідомлення. Сертифікат видається строком на один рік, тому я вважаю за краще включити підписку, щоб мене повідомили про закінчення терміну дії сертифіката.
5. Читаємо угоду, підтверджуємо свою згоду. Після цього ключ генерується (відповідаємо «Так» на запит браузера) і відсилається на е-мейл, який ви вказали.
6. Перевіряємо пошту. В отриманому від Comodo листі буде велика червона кнопка «Click and install Comodo Email Certificate» (можна також скористатися посиланням, яка в листі нижче). Важливо: при натисканні кнопки посилання повинна відкриватися в тому ж браузері, в якому генерувався ключ! Таким чином і проводиться перевірка того, що вказану вами адресу належить саме вам. Натискаємо кнопку, підтверджуємо операцію.

Додаємо сертифікат в поштову програму

Сертифікат у нас є. Тепер треба щоб поштова програма «знала про нього». Якщо ви використовували Internet Explorer, то Outlook і Windows Live Mail вже знає про сертифікати. Рекомендую відразу ж зробити резервну копію сертифікатів: в Internet Explorer вибираємо в меню «Сервис → Властивості оглядача», вкладка «Зміст», кнопка «Сертифікати»:

Вибираємо потрібний сертифікат, натискаємо кнопку «Експорт ...», далі читаємо підказки, і все вийде. 🙂 Зберігаємо файл в надійному місці!

У випадку з Firefox і іншим поштовим клієнтом, в меню «Tools → Options» вибираємо вкладку «Advanced», на ній - «Encription», натискаємо «View Certificates», вибираємо потрібний сертифікат, натискає кнопку «Backup» і вивантажуємо його в файл ( при цьому треба призначити пароль). Завантаження сертифіката залежить від поштової програми і зазвичай труднощів не викликає (при імпорті вводимо той же пароль, який вказали при експорті!).

Використання сертифікату

В Outlook 2007 вибираємо в меню «Tools → Trust Center», зліва вкладка «E-Mail security», включаємо «Add digital signature to outgoing messages» і «Send clear signed message when sending signed message» (друга опція потрібна, щоб листи могли бути прочитані навіть програмою, яка не вміє працювати з цифровим підписом):

Якщо використовуєте Windows Live Mail - вибираємо в меню «Параметри безпеки ...», і на вкладці «Безпека» включаємо «Підписувати всі надіслані повідомлення», натискаємо кнопку «Додатково» і обов'язково відключаємо опцію «Кодувати повідомлення перед підписуванням (непрозора підпис)».

Усе. Тепер, якщо у нас є сертифікат для адреси vа[email protected] і ми відсилаємо лист з цієї адреси - підпис автоматично додасться до листа. При цьому може з'явитися запит, типу такого:

Як відіслати листа без підпису

В Outlook: при створенні листа на вкладці «Message» (це перша вкладка на стрічці) ми бачимо «натиснуту» іконку конверта з печаткою. Це і є ознака «підписувати». Якщо її вимкнути - лист піде не підписаним:

У Windows Live Mail (меню зазвичай заховано, щоб не заважало, натисніть Alt, щоб воно з'явилося):

Як виглядають підписані листи

У списку у листи буде особлива іконка з печаткою (або аналогічним значком). Наприклад, в Outlook 2007 - так:

В інших програмах буде якось на зразок. Крім того, при перегляді листа в шапці буде значок підпису. При кліці по ньому (в Outlook 2007):

Якщо ж цифровий підпис порушена, значок буде виглядати не так благополучно, наприклад, в Outlook - так:

При натисканні на знак оклику:

А в клієнтах, які не вміють працювати з підписами (наприклад, в веб-мейлі) підпис буде виглядати просто як вкладення незрозумілого вигляду.

PS Є також можливість отримати особистий (прив'язаний до імені, а не до e-mail'у) цифровий сертифікат, тобто такий підпис буде по суті аналогом вашої власноручного підпису, але для отримання такого сертифіката потрібно підтвердити свою особу і заплатити певну суму. Для жителів України - купити сертифікат в Українському сертифікаційному центрі або в одному з його представництв (ціна для приватних осіб - 50 грн. на рік). Але справа в тому, що для підпису використовується якийсь специфічний софт «БЕСТ ЗВІТ» ... Вобщем, я вирішив, що мені це не потрібно 🙂

Доповнено: Є також інший тип цифрового підпису - на основі PGP (OpenPGP, GnuPG). Про нього, можливо, розповім іншим разом.

Доповнено: Як виявилося, цифровим підписом S / MIME можна підписувати і документи Word. Якщо документ буде згодом змінений - підпис буде порушена.

Важливе доповнення: Thawte з 16 листопада 2009 року. припиняє видачу та підтримку персональних сертифікатів (Thawte Personal E-mail Certificates and Web of Trust are being discontinued), і рекомендує своїм клієнтам звертатися за безкоштовними сертифікатами в Comodo .