No .
Una CA ha la responsabilità di verificare che la persona che richiede un certificato per un dominio sia effettivamente proprietaria del dominio in questione. Non spetta alla CA eseguire la censura dei nomi di dominio, né per controllare ciò che le persone fanno con un certificato una volta che ce l'hanno.
Ora, la tua preoccupazione è già affrontata dai livelli più elevati di certificati SSL, ma spetta alla corporazione richiedere al Cert di spendere più tempo e denaro per ottenerlo.
Esistono due livelli di certificati che puoi acquistare: Domain Validation (DV) e Extended Validation (EV). I certificati DV sono progettati per avere l'emissione automatica e sono il tipo di certificato che Let's Encrypt genera. I certificati EV hanno livelli di controllo molto più elevati prima dell'emissione e richiedono chiamate telefoniche, pratiche burocratiche, ecc.
wikipedia / Extended_Validation_Certificate :
Issuing criteria
Only CAs who pass an independent qualified audit review may offer EV,[5] and all CAs globally must follow the same detailed issuance requirements which aim to:
Establish the legal identity as well as the operational and physical presence of website owner.
Establish that the applicant is the domain name owner or has exclusive control over the domain name.
Confirm the identity and authority of the individuals acting for the website owner, and that documents pertaining to legal obligations are signed by an authorised officer.
Si noti che per i certificati EV, l'entità legale che richiede la certificazione deve essere una società, non un individuo, e il nome della società è incluso nel certificato e appare nella barra di stato del browser.
ex: certificato non EV:
ex:EVcert:
NotacomevienevisualizzatoilnomelegalediPayPalnellabarradegliindirizzi?Questoèquasiimpossibiledafalsificare,estiamoalzandoillivelloperglispammer:l'unicomodoperottenere"PeyPal, inc" sarebbe quello di incorporare effettivamente una società, che le organizzazioni criminali in genere non vogliono fare. Quindi, una volta che gli utenti si abituano a cercare questo sui siti web di grandi nomi, questo problema si risolverà da solo. Sfortunatamente, a causa della quantità di verifica manuale, i certificati EV sono costosi (centinaia di $ USD all'anno) e CA come Let's Encrypt o Godaddy non li offriranno mai.
In generale, una CA è come l'ufficio passaporti o l'ufficio che rilascia le patenti di guida; hanno la responsabilità di garantire che A) tu sia chi dici di essere, e B) di aver soddisfatto i requisiti (ovvero sei un cittadino / hai superato i tuoi test di guida). Non hanno alcuna responsabilità di tenere traccia di ciò che stai facendo con tale ID, né è legale per loro revocare il tuo passaporto / patente di guida anche se li usi per scopi illegali.
Indirizzamento del commento:
Is there a history of certificate issuers revoking certificates because of nefarious use, even though they don't have a legal responsibility to do so?
No, decisamente no. Una CA si spegnerebbe se lo facessero.
Pensaci in questo modo: le autorità di certificazione devono essere una terza parte completamente neutrale e globalmente affidabile. Se hanno il potere di esprimere giudizi su ciò che conta come "nefasto" e revocare i certificati basati su quello, allora non sarebbero neutrali e di fiducia globale, ora sarebbero?
Potresti pensare che il browser potrebbe riunirsi e fare un rigido insieme di regole per ciò che conta come "nefasto", in modo che le CA stiano quindi applicando le regole. Ma cosa potrebbe effettivamente portare a termine? Phisher e truffatori sono molto bravi a infrangere le regole. Probabilmente passeremmo più tempo e sforzi a discutere delle regole piuttosto che l'entità del vantaggio che otterremmo.