Supponiamo che tu abbia un server in shop.example.com
e stai richiedendo un certificato da qualche CA di fiducia come Comodo (dicono che lo pubblicheranno entro pochi minuti online).
-
Prima di tutto, come possono assicurarsi di essere davvero un amministratore di
shop.example.com
? Forse è stato un attaccante che ha richiesto questo certificato per poter eseguire un attacco man-in-the-middle. -
E in secondo luogo, diciamo che sei stato davvero tu e hai ottenuto quel certificato. Cosa impedisce allo stesso utente malintenzionato di richiedere un certificato per lo stesso dominio da qualche altra CA?
-
Esiste una memoria comune di tutte le richieste in modo che le CA possano rilevare facilmente tali duplicati? O ci sono altri modi per prevenirlo?
-
Qualcuno può anche ottenere facilmente un certificato per
shop.example.net
e sperare in alcuni utenti che digitano errori di digitazione?