Un certificato del server avrebbe il suo nome di dominio nel suo campo soggetto. Un certificato personale dovrebbe avere il tuo nome come campo soggetto. Come puoi essere sicuro che non ci siano due certificati con lo stesso nome?
Ad esempio: - Supponiamo di aver bisogno di inviare alcuni dati crittografati a userA. Come puoi essere sicuro che il suo userA e non qualche altra persona? Solo verificando il nome sul certificato non toglierei il rischio che l'uomo nel mezzo attacco io supponga.
Lo scopo di un certificato è quello di associare una chiave pubblica con un'entità e questa è responsabilità della autorità di registrazione della PKI per garantire che l'identità dell'entità nel certificato corrisponda all'entità portatrice della chiave (es. per il certificato SSL un'entità può essere un server, l'identità è il nome del dominio).
Le procedure che descrivono come questa corrispondenza viene eseguita dall'AR possono essere trovate in un documento pubblico pubblicato da PKI e chiamato Politica sui certificati .
Questa è la responsabilità dell'utente di un certificato (per la crittografia della convalida della firma) per leggere il CP e decidere in che misura l' Autorità di certificazione che ha emesso questo certificato è affidabile. Ovviamente non metti la stessa fiducia in alcuni PKI che dichiarano che solo l'email del portachiavi è stata verificata e un PKI che consegna il certificato su una smartcard, direttamente nelle mani del portachiavi, con un controllo ID ufficiale. Ma a volte la verifica dell'e-mail può essere sufficiente.
In realtà le domande più importanti da porre sono:
Che ne dici di utilizzare l'indirizzo email dell'utente come identificatore?
Se è necessario un identificativo univoco, utilizzare il numero di serie del certificato combinato con il DN dell'emittente. Ecco come lo fa OCSP, ed è garantito che sia unico. Come dice nealmcb, le informazioni descrittive nel certificato (DN soggetto, Nome alt soggetto, ecc.) Sono verificate dall'arbitro e non devono essere univoci, a meno che la CA non abbia una pratica aziendale di gestione dell'unicità. Alcuni gruppi fanno - ad esempio, possono includere l'ID del dipendente nel DN soggetto e confrontarlo con un database aziendale come parte del processo di registrazione. Ma per implementare una cosa del genere, devi essere sicuro di stare con un sistema PKI che fornisce questo.
Leggi altre domande sui tag cryptography certificates