GPG 初學者：如何確定我是否信任 sks-keyservers.net

我們是否可以說“當然”，因為在層次結構層級上沒有其他人比 CA 更高（實際上應該如此）？

不，當然不是。如果這是唯一的問題，Firefox 甚至不會問——證書已經表明它是一個 CA。相反，它問你的是：

1. 你信任嗎這個特定的CA成為一名 CA？任何人都可以建立自己的認證機構——這並不意味著他們會做得很好。 （許多大型且「受信任」的 CA 已經出問題了。）您是否相信 SKS 池運營商不會頒發虛假證書，並保護 CA 金鑰不被竊取？

2. 你確定你得到了正確的證書對於這個CA？任何人都可以製作自己的帶有任何名稱的證書- 如果您要將其標記為受信任，您最好確保它是真正的“SKS CA”，而不是廉價的仿冒“SKS CA”，因為它們可能看起來如此除了“指紋”值之外，其他相同。你必須驗證這一點，因為確實沒有更高的 CA 可以驗證根 CA。

（基本上，您會看到此對話框，因為就您的系統而言，您處於比所有 CA 更高的層次結構層級。）

或者我有錯誤的思維模式，將認證視為只有一個中央權威的金字塔

那曾是1990 年代用於 S/MIME（以及後來的 HTTPS）的原始模型，以 RSADSI 為中央權威。然而，壟斷並沒有持續太久——最終變成了幾個相互競爭的認證機構的名單。 （現在它被稱為「WebPKI」系統，擁有數十個 CA，不包括經銷商。）

更重要的是，它與 PGP 完全相反。有不PGP 金鑰的中央機構——它最初的目的是成為一個「信任網路」。您要安裝的 CA 在 PGP 金鑰驗證中不起任何作用。

相反，您首先自己驗證一些 PGP 金鑰（例如您朋友的），然後可以將這些人標記為權威。沒有預先定義的 CA 清單來驗證每個人。

IMO sks-keyserver.net 看起來就像 GPG 信任網路的母親 - 為什麼 Mozilla 中沒有預先安裝這個網路呢？

其一，如同上面提到的，SKS CA 與 PGP 信任網絡沒有任何關係。它不向人們頒發證書，只向密鑰伺服器頒發證書。因此，它僅用於透過 HTTPS 與金鑰伺服器進行私人通信，但無論您是否使用 HTTPS，都不會真正影響 PGP。

Mozilla 不會以任何方式處理 PGP 信任網路。公共網站使用的 HTTPS (TLS) 是完全獨立的 – 它使用「WebPKI」信任網路。

SKS 池的運營商決定運行自己的CA，而不是依賴WebPKI CA，我認為這部分是由於總體上對CA 系統的不信任，部分是因為該池的運作方式使得使用商業CA 變得困難（每個池伺服器使用帶有兩個網域的單一憑證）。

由於 SKS CA 是為特殊目的而建構的，並且不向公眾頒發證書，因此它無論如何都不適合 Mozilla 的信任清單。

以上所有內容都引出了最後一點：您實際上並不是要將此憑證安裝到 Web 瀏覽器中，也不是要透過瀏覽器實際存取金鑰伺服器。相信你能這樣做是因為它們中的大多數都提供 Web 介面，但密鑰伺服器主要供 GnuPG 本身使用 - 您應該下載該 .crt 檔案並在 GnuPG 中配置它。

這實際上限制了您需要「信任」它的程度——因為它不必安裝在您的網頁瀏覽器上，這意味著它不會以任何方式影響您的日常瀏覽；它只能影響 GnuPG 軟體。

（而且 SKS CA 實際上已經預先安裝並預先配置了所有最新的 GnuPG 版本。無論您正在閱讀的教學是什麼，都已經過時了。）

Q3：使用 GPG 時是否總是只有一個 CA 處於活動狀態？需要手動切換嗎？

PGP 的核心功能根本不使用任何 X.509 CA。 （SKS CA 的唯一目的是與金鑰伺服器私下通訊。）PGP 金鑰由其他 PGP 金鑰驗證，因此它在設計上允許多個「CA」。

對於金鑰伺服器 HTTPS 通信，GnuPG 支援多個 CA，它們只需要位於同一個檔案中即可。但在您更改密鑰伺服器位址本身之前，您不需要更改它們。

Web 瀏覽器已經使用多個 CA 來支援 HTTPS。