Per stabilire una connessione SSL affidabile ho bisogno di creare una richiesta di certificato. Ad esempio, se uso openSSL, posso farlo con il seguente comando:
openssl req -new -key privkey.pem -out cert.csr
Chiunque può farlo. Mi aggiro come CA garantisce che una richiesta di certificato viene da me? Forse qualcun altro crea una richiesta di certificato per conto di me. Forse la mia posta in CA è stata compromessa e una richiesta di certificato è stata sostituita. Posso firmare la mia richiesta di certificato e inviare la mia chiave pubblica di firma a CA (ad esempio nella posta separata)? In questo caso è possibile garantire che una richiesta di certificato venga da me.