Che cosa intendo per "modifica dell'itinerario":
Come esempio pratico, mysite.example.net è impostato come:
mysite.example.net. 3600 IN CNAME some-other-site.elsewhere.com.
some-other-site.elsewhere.com. 580 IN A 22.33.11.0
mysite.example.net viene quindi modificato in:
mysite.example.net. 3600 IN CNAME newsite.differentplace.com.
newsite.differentplace.com. 3600 IN CNAME some-other-site.elsewhere.com.
some-other-site.elsewhere.com. 580 IN A 22.33.11.0
(mettendo da parte la non-migliore pratica di puntare un CNAME a un CNAME,) Il "percorso" è cambiato da 2 look-up a 3.
Sto anche chiedendo se qualsiasi numero di passaggi o qualsiasi tipo di modifica "nel mezzo" o verso il lato dell'indirizzo IP lungo la "rotta" di ricerca avrebbe alcun impatto sul certificato in fase di verifica.
La mia comprensione dal seguente snip di questa domanda è quella lunga poiché tutte le ricerche provengono dal luogo "corretto" (cioè il CN del cert corrisponde al primo URL DNS interrogato), non ci dovrebbe essere alcun impatto sulla verifica del certificato. Qualsiasi numero di modifiche alla catena di ricerca e qualsiasi tipo di modifica non dovrebbe influire sul risultato finale del certificato che è valido / verificato.
But a CA can make me trust any server they want!
Yes, and that is where the trust comes in. You have to trust the CA not to make certificates as they please. When organisations like Microsoft, Apple and Mozilla trust a CA though, the CA must have audits; another organisation checks on them periodically to make sure everything is still running according to the rules.
Issuing a certificate is done if, and only if, the registrant can prove they own the domain that the certificate is issued for.
Ho ragione?
Si prega di non limitare le vostre risposte, ma nello specifico, eventuali altri certificati lungo il percorso resteranno impigliati nella ricerca originale? (ad esempio, newsite.differentplace.com ha il proprio certificato, sarebbe usato nella convalida invece del certificato per mysite.example.net ?)