La base della sicurezza del certificato è che una terza parte (l'emittente) certifica che il certificato è stato consegnato a qualcuno che ha i diritti appropriati sul dominio.
Se come cliente mi fido dell'emittente, posso fidarmi di qualsiasi certificato che ha firmato.
Le possibili frodi sono:
-
qualcuno viene fornito con documenti falsi che mostrano che è proprietario del dominio. Potrebbe essere fatto, ma l'emittente deve essere molto cauto perché quella parte è il loro vero lavoro, e se possono essere facilmente ingannati nessuno si fiderà più di loro
-
qualcuno ha violato un emittente e ottiene una chiave privata valida che consente la firma del certificato. Le regole di sicurezza negli emittenti di certificati seri tendono a rendere questo estremamente difficile, ed è probabile che il certificato rubato sarà presto revocato
In realtà, si presume generalmente che il costo di ottenere un certificato falso non varrà la pena. Ci sono molti altri modi più semplici per rubare informazioni sul web, nella vita reale.
Non dimenticare mai cosa si può fare con una chiave $ 5 ...
Naturalmente le cose potrebbero essere diverse quando pensi alle agenzie governative. Non ho alcuna prova reale se sia vero o no, ma penso che la sicurezza dello stato fosse davvero preoccupata, potevano chiedere a un certificato valido per un dominio di terze parti di fare intercettazioni legali.