Quando ottieni un certificato da un sito web che visiti, firmato da una CA attendibile, è affidabile perché l'autorità CA ha eseguito un controllo in background su di essi?
Ma in che modo questo aiuta a spoofare i siti web?
Immagina questo:
- qualcuno ha creato un fakebook.com e lo ha fatto apparire esattamente come Facebook
- l'utente ha effettivamente digitato lo stesso fakebook.com (per errore)
- fakebook.com ha acquisito un certificato dalle CA di fiducia
- Il certificato dice che è "Fakebook" e non "Facebook" che è giusto
- L'utente vede l'icona verde ed è felice. Continua a utilizzare Fakebook.
Per evitare quanto sopra, tutte le CA possono controllare manualmente il sito Web e vedere se è intenzionalmente creato come un altro sito web?
Ho letto di una CA che erroneamente ha fornito certificati a un individuo che dichiara di essere Microsoft. ( link ) Che cosa significa? Qualcuno ha creato un sito Web e ha utilizzato "Microsoft" come nome del proprietario? Quando gli utenti visitano i siti Web, non è come se effettivamente vedessero chi è il proprietario. Tutto quello che interessa è se è firmato da qualche CA di fiducia. Che importanza ha il nome del proprietario utilizzato per acquisire un certificato?