问：有听众问到，现时几个在中国的免费数码证书网站都不安全的情况下，有甚么免费数码证书是安全可靠，而且又不会受中国免费数码证书丑闻影响，又能在Outlook 2016等软件替邮件加密？

李建军：由于听众使用Outlook 2016，因此，不大适合用PGP之类的开放源码自行签署数码证书服务，因为Outlook 2016之类软件，主要使用SSL的技术，而不是PGP之类的开放源码技术。而SSL的数码证书，由于有中立第三者机构核实数码证书的真确性，有某些情况下，安全度亦会比较高。

现时comodo有提供免费，只是让电邮使用的数码证书，相信可以满足听众在这方面的需要。只要翻墙去comodo网站，输入自己的电邮地址，很快就可以在电邮领取免费的SSL数码证书，并立即安装使用。这次翻墙问答有视频，示范如何申请和下载相关数码证书，欢迎听众浏览本台的网站收看。

在申请comodo数码证书时，请尽量选择私人金钥长度为2048位元，因为现时中国当局已经拥有运算能力相当强的电脑，如果私人金钥的长度太短，就很容易被当局解破加密。中国当局拥有比一般黑客更为充沛的资源，因此，用户选择金钥长度，以及加密方法时，无论用商业SSL证书，还是开放源码的PGP证书，都要选择最强的一种，加大当局滥用公共资源破解你证书时要付出的时间、成本和难度。

问：现时市面上大部分免费的SSL证书，都是针对主机，而非针对个人电邮间的加密，为何针对主机的SSL的证书，会有不少机构提供免费的加密证书，而并非个人？

李建军：近年让主机用免费SSL证书，并非针对电子商贸一类需要加密和信任程度极高的应用，因为这些应用需要的SSL需要证书发出机构核实，甚至要邀请会计师行作独立第三者核证，成本相当高。

免费的主机用SSL证书，主要响应谷歌搜寻结果上将已加密网站排名优先的政策，不同的机构，不论由业界支持的非牟利组织，还是个别提供网络保安服务的公司，透过提供免费的SSL证书，令网站采用加密传输普及化，保障用户私隐。而广发免费的SSL证书，亦变相令网站拥有人愿意参与简单身份和拥有权核证，避免出现假网站。因为假网站一般不会安装有效的数码证书，不作加密传输，或安装的数码证书核证人身份不明，浏览器一般会作出警告，用户或保安专家亦很容易由数码证书内容，看出网站是假冒的，这就大大保障了互联网安全，就算当局可以透过挟持DNS来令听众去假冒网站，都会因数码证书的内容问题，而被拆穿挟持DNS的西洋镜。而亦由于技术的改进和变革，以往加密了的网站通讯由于互联网供应商无法替资料进行快取而会令速度变慢，但现今加密了的通讯，在新技术配合下，反而大大加快了网络传输的效率，这也是是现时谷歌以及其他西方资讯科技大公司已经鼓励网站尽量采用加密技术的原因。

虽然在华人地区，大部分传媒仍未踏上加密的步伐，但现时香港新成立的网媒，像众新闻或立场新闻，很多都已经依循谷歌的指引，替整个网站进行加密，而加密水平亦达到业界A级或以上要求。相信会有更多在海外的自由传媒，于网站传送内容时进行加密，以保障网站读者的私隐，以及防止黑客或当局透过假网站来散播不实资料。