Di solito, i siti web dicono "non accedere se non si vede l'icona di sicurezza". Se l'utente non ha notato che l'URL è sbagliato (o è fuorviante come questo una recente azienda di sicurezza ha scoperto), e si fida solo di quell'icona, potrebbero essere vittime di un attacco di phishing. In questo caso, una CA revocherà il certificato del sito di phishing o mancherò il punto di revoca? Inoltre, se le CA revocano i certificati per i siti di phishing, esistono esempi ben noti?
Prima di tutto, questo è diverso per ogni CA. Secondo uno specialista del supporto tecnico all'indirizzo GlobalSign :
GlobalSign does not revoke certificate without the permission of the owner. [...] For phishing sites, our vetting team will perform security checks on the domain prior to issuance.
D'altra parte, DigiCert ha alcune altre regole:
DigiCert revokes certificates for the reasons stated in the DigiCert CPS, including the following:
[...]
DigiCert obtains evidence that the certificate was misused;
DigiCert is made aware that a subscriber has violated one or more of its material obligations under its agreement with DigiCert;
A third party provides information that leads the DigiCert to believe that the code signing certificate is compromised or is being used for suspect code;
Inoltre, un certificato ha lo scopo di indicare che sei veramente connesso al sito giusto. Non dà un giudizio sul contenuto o sulla qualità del sito. Un certificato per fake-paypal.com è valido e corretto se sei realmente connesso a fake-paypal.com, anche se quel sito impersona il vero PayPal.
Modifica: DigiCert revoca i certificati che sono stati "usati in modo improprio", ma ciò che significa esattamente è aperto all'interpretazione. Penso che usare un certificato per un attacco man-in-the-middle sia assolutamente improprio, ma non sono sicuro di usarlo su un sito di phishing.
Leggi altre domande sui tag web-browser certificates