Tutti i certificati sono firmati per intero (protetti dalle modifiche), quindi non è possibile modificare il nome o altri dati al suo interno.
Il certificato del server a cui ci si connette è firmato dal certificato dell'emittente, che a sua volta può essere firmato da altri certificati più in alto, questa è la catena di certificati. La parte superiore, alias root, è firmata da sola. Se apporti modifiche a uno di questi certificati, non avrà più una firma valida. Se sostituisci la chiave pubblica e la firma, i seguenti certificati non possono più verificare l'utilizzo di questo certificato.
Il proprietario di un certificato di origine è in grado di modificare qualsiasi cosa nel proprio certificato a proprio piacimento, in modo che possano ad esempio estendere la validità (sostituire la data di scadenza), mantenendo comunque tutti i certificati emessi validi.
Ci si aspetta che i browser abbiano tutta la root corrente e alcuni certificati intermedi già memorizzati, quindi puoi verificare tutti i certificati emessi da qualcuno di quelli con la sicurezza di come hai acquisito in sicurezza il tuo sistema operativo o browser (che potrebbe non essere molto sicuro, dopo tutto).
Se gli utenti confrontano gli URL è una cosa diversa: il browser ti avviserà se desideri accedere a un sito e il certificato viene emesso per un nome diverso, ma se il nome digitato è fuorviante e ha un certificato valido , è ancora un problema. Si prevede che le autorità competenti rilasciano certificati solo per i nomi che possono garantire, e hanno inventato quegli EV verdi - i certificati di verifica dell'estensione, che controllano ancora di più.
Ad esempio, se si desidera accedere a storemymoneypal, ma erroneamente storemymoneypai, e il sito si presenta come storemymoneypaI (con una i maiuscola alla fine), è difficile notare la differenza: è questo che si prevede che la verifica eviti . Con i caratteri unicode ci sono personaggi ancora più simili, ma questi pericoli sono ben noti e qualsiasi CA valga la pena di guadagnarsi la fiducia dei produttori di browser ne sarà a conoscenza.