Identità. Il fatto che il server possedesse la chiave privata è buono, ma è comunque necessario sapere con chi si parla. Particolari CA rilasciano certificati a migliaia di entità e quando vai a stackoverflow.com
, ti aspetti che stackoverflow.com
risponda a te, non a qualsiasi altro sito web che abbia il proprio certificato dallo stesso emittente.
Un semplice esempio: sei un corriere postale e devi consegnare un pacco a (diciamo) John Smith (questo nome è stampato su una busta). Ma tu non conosci John Smith in persona. Ok, trovi la sua casa per indirizzo. Qualcuno afferma di essere John Smith. Devi verificare le sue affermazioni, chiedere documenti (patente di guida o carta d'identità). Ok, presenta la sua carta (dimostra che possiede quella carta) a voi. Il fatto che possieda una carta ben fidata significa troppo poco. Devi leggere il nome stampato sulla carta. E solo quando il nome su una carta corrisponde al nome su un pacco - allora puoi tranquillamente dargli il pacco. E non lo farai se i nomi non corrispondono.
In altre parole, il nome di dominio nel certificato garantisce che tu sia l'entità che rivendichi di essere.