Informazioni sul proprietario del certificato

I certificati non dimostrano per definizione chi ci sia dietro. Se ti fidi che 'fonte' dipende interamente da te. Questo è il motivo per cui la maggior parte delle connessioni "sicure" fatte con i certificati sono per riservatezza e integrità, ma non si sa ancora con chi si sta parlando. Le CA hanno regole che dicono ai proprietari del certificato di non condividere la chiave privata, ma in pratica è molto difficile da controllare.

Puoi anche risalire la catena e dire "Non conosco Coca Nuts Unicorns Ltd, ma conosco l'autorità più in alto nella catena, Verisign per esempio". Se la verisign è ok, forse lo sei anche tu? Questa è una pendenza scivolosa, però, perché le CA ti consegneranno un certificato purché tu dia loro un po 'di soldi, alcune informazioni sull'account e un indirizzo email. Non puoi essere sicuro di chi c'è dietro quel certificato.

Esiste un concetto con certificati, convalida estesa, che ti aiuta in questo. Le basi di questo concetto sono che il proprietario doveva essere convalidato dall'autorità di certificazione.

An Extended Validation Certificate (EV) is a certificate used for HTTPS websites and software that proves the legal entity controlling the web site or software package. Obtaining an EV certificate requires verification of the requesting entity's identity by a certificate authority (CA). Web browsers show the verified legal identity prominently in their user interface, either before, or instead of, the domain name. During software installation, the verified legal identity is displayed to the user by the operating system (e.g., Microsoft Windows) before proceeding with the installation.

Vedi: link