È possibile che un utente malintenzionato forgi una richiesta di firma del certificato in modo che sia in grado di impersonare qualcun altro? (rubando il csr prima che venga firmato e cambiandolo)
Immagina che qualcuno malvagio stia intercettando la tua comunicazione nel momento esatto in cui invii il CSR alla CA (firmatario):
L'autore dell'attacco tenterà di impersonare su di te inviando il CSR e ottenendo un certificato per il tuo sito. Tuttavia, l'entità firmante eseguirà ulteriori controlli di identità per assicurare di essere il proprietario del sito specificato nel CSR (ad esempio: contatto via e-mail, challenge-password, upload x file ...). Quindi l'attaccante dovrebbe controllare più del solo CSR ottenuto.
Si noti che il CSR porta una firma digitale delle informazioni sulla richiesta del certificato, quindi l'autore dell'attacco non può semplicemente incorporare la chiave pubblica di Google, poiché non può creare firme valide, quindi CA saprà che il proprietario della chiave pubblica non è il richiedente.
Leggi altre domande sui tag certificate-authority x.509