Se acquisto un nome di dominio scaduto, ho la certezza che il precedente proprietario non abbia un certificato HTTPS valido per il sito? In altre parole, le CA verificano le date di scadenza dei nomi di dominio quando rilasciano un certificato per garantire che il certificato non superi la proprietà del dominio? Oppure, in alternativa, le CA monitorano la proprietà dei nomi di dominio e revocano i certificati per i domini che sono stati abbandonati?
Do I have any assurance that the previous owner does not have a valid HTTPS certificate for the site?
No, non lo fai.
Le CA possono emettere certificati validi dopo la data di scadenza del dominio (al momento dell'emissione). Anche se non lo facessero, un dominio potrebbe essere trasferito prima della sua data di scadenza.
Inoltre, non è possibile controllare tutte le CA esistenti e considerate affidabili dai potenziali clienti. Anche se esistesse uno schema che potrebbe monitorare gli aggiornamenti della registrazione del dominio, non tutte le CA potrebbero far parte di tale schema. Non è possibile conoscere esattamente tutte le CA di cui i tuoi potenziali utenti potrebbero fidarsi.
Posso creare la mia CA e rilasciare un certificato valido per i prossimi 20 anni per un dominio che non esiste ancora. Naturalmente, questo è un esempio estremo e inutile, ma se lo uso come CA interna e in seguito si registra tale dominio, non si avrebbe modo di saperlo.
Ovviamente potresti limitare la tua assunzione alle principali CA in circolazione. Tuttavia, per quanto ne so, non controllano le modifiche al database whois, almeno per i certificati convalidati dal dominio (non sono sicuro che ci sia una disposizione per questa situazione con i certificati EV).
Se prendiamo come esempio Dichiarazione di certificazione di Verisign , non sembra esserci alcun controllo sulla data di fine della proprietà del dominio (consultare le condizioni sulla convalida del dominio, pagina 83 e 84: nulla sulle date). In realtà, lo stesso CPS dichiara di considerare valida la convalida di un dominio fino a 13 mesi (vedi pagina 76) e la durata massima di un certificato EV è di 27 mesi, quindi la migliore garanzia che ci si può aspettare è che nessun certificato per un nome di dominio supera la fine della proprietà del dominio di oltre 40 mesi . Che è un po 'lungo.
E parliamo solo dei certificati EV di Verisign. Ogni CA ha le sue regole e non sembra esserci alcun consenso o limiti strongmente rafforzati in materia. In definitiva, è responsabilità del fornitore del sistema operativo / browser impostare i limiti, ma, per quanto ne so, Microsoft / Mozilla / Apple non dispongono di regole per la corrispondenza dei periodi di validità dei certificati alla scadenza del dominio.
Potresti essere in grado di mitigare questo rischio implementando TLSA (noto anche come DANE) , in cui essenzialmente memorizzi il tuo chiave pubblica dei server Web in DNS. Questo è attualmente supportato in Chrome.
Non sono sicuro che il certificato del proprietario precedente abbia un precedente su DANE o viceversa. Considerando il problema di sicurezza a cui si rivolge, avrebbe senso che tutti i browser TLS provassero a DANE a verificare la connessione (preferibilmente su DNSSec) rispetto ai tradizionali HTTPS
Leggi altre domande sui tag tls certificates certificate-authority certificate-revocation dns-domain