Se richiedo il certificato da example.com e il server risponde con il certificato (legit) da notexample.com, il browser genera un errore?
Se richiedo il certificato da example.com e il server risponde con il certificato (legit) da notexample.com, il browser genera un errore?
Il browser Web dovrebbe effettivamente lamentarsi rumorosamente se il nome del server previsto (quello dell'URL di destinazione) non appare in un punto adatto nel certificato del server (normalmente come Nome alt soggetto estensione di tipo dNSName). Vedi RFC 2818, sezione 3.1 .
In pratica, i browser moderni emettono avvisi molto evidenti, spesso spaventosi e rossi. Alcuni browser consentono di "clickare" l'avviso con maggiore o minore facilità (ma, ovviamente, non dovresti farlo).
Dipende dal tuo browser.
La maggior parte ti lascerà bypassare. (A meno che tu non abbia anche HSTS per quel dominio.)
Puoi provarlo tu stesso:
Verifica questo sito errato:
Certificato valido, nome errato (host), HSTS non violato: link (Segnala qui .)
Prima di testare il prossimo cattivo sito:
Visita questo sito per assicurarti che il browser carichi la regola HSTS: link
E quindi procedere a questo sito non valido:
CERT valido, nome (host) errato, HSTS violato: link (Segnala here .)
Modifica 2015-06-12: Bugfix. Passaggio intermedio aggiunto. Questo era necessario in modo che il browser avesse la possibilità di essere consapevole del fatto che esisteva una regola HSTS. Altrimenti il browser non è in grado di dire che qualcosa viene violato nel passaggio successivo. (Questo passaggio intermedio potrebbe non essere più necessario in futuro, perché badssl.com ha richiesto l'inclusione nell'elenco di precarico HSTS, ma ciò non accadrà prima di Chrome 44 o Firefox 41.)
Leggi altre domande sui tag tls certificates