Let's Encryptを使用して署名鍵を検証できますか？

GPGとブラウザは、根本的に異なる方法で証明書を信頼します。

ブラウザはそれをどのように行うのですか？

ブラウザには、信頼されたルート証明書のセットが必要です。これらはブラウザにバンドルされているか、ブラウザがOSが提供するルート証明書に依存しています。

証明書を検証しようとすると、ブラウザーはまず、証明書がブラウザーがアクセスしようとしているものと一致するかどうかを確認します（例えば、ブラウザーがsecurity.stackexchange.comにアクセスしようとした場合、証明書はsecurity.stackexchange.comからのものであると主張しますか？）そして、誰がその証明書に署名したかを確認します。次に、ブラウザは、ルートまでの証明書thatをチェックします。ブラウザのトラストストアでルートが見つかった場合、証明書は有効であると見なされます。

GPGはそれをどのように行うのですか？

上記のアプローチでは、特定のサードパーティを信頼して偽の証明書を発行しないようにする必要があります。代わりに、GPGはピア間で信頼を分散しようとします。これが機能する方法は、元々誰も信頼していないキーを生成することです。次に、あなたの鍵をあなたの仲間と共有し、あなたの仲間はあなたの鍵に署名します。次のオプションを選択できます。

• マージナルトラスト：このオプションは、そのキーを少しだけ信頼することを意味しますが、必ずしも完全にではありません。これは、何らかの方法でそのキーを取得したが、実際にはそのキーが正当であることを100％検証できない場合に使用する必要があります。
• 完全な信頼：鍵は、それが属すると信じている誰にでも属していることを信頼し、また、その人が正しい署名決定を行うことを信頼しています。
• 究極の信頼：これはあなた自身の鍵のためのものです。これらのキーが行うすべてのこと、およびこれらのキーによって署名されたすべてを信頼します。

この奇妙なGPGエラーを修正するにはどうすればよいですか？

まず第一に、あなたの友人は、彼らが受け取った公開鍵が実際にあなたのものであることを何らかの手段で確認する必要があります。これは、侵害される可能性が低いと思われるチャネルを通じて行うことができます。

次に、友達があなたの鍵に署名する必要があります。彼らが何を信頼するかは関係ありません。彼らが署名したということだけです。その結果、あなたの友人のGPGインストールは、キーを信頼できると見なします。

どうしてそんなに複雑なことをするの？

GPGはユーザーフレンドリーではないことで悪名高いので、マニアのサークル以外では広く使用されていないのはこのためと思われます。しかし、その背後にある核となる考えは、直接会って鍵を交換することによって確立された強固な信頼は、破壊するのが非常に難しいということです。侵害されたCAでは、手動で信頼に設定していないキーを信頼することはできません。

これがあなたが心配しているものであるなら、別の話です。 GPGの信頼モデルについてさらに詳しく知りたい場合は、 この記事 を参考にしてください。