Risposta breve: è nella CSR.
Risposta più lunga:
Quando generi una CSR da una coppia di chiavi, fornisci alla CA le informazioni su quali proprietà deve avere il certificato (per quale dominio (i) / nomi, ecc.).
Esistono diversi modi in cui le CA possono verificare che il CSR provenga effettivamente dal legittimo proprietario dei domini per cui è responsabile il CSR. Diverse CA utilizzano metodi diversi e per certicificazioni regolari (non OV / non EV) questo di solito si riduce per mostrare che si ha il controllo sui domini, ad esempio
- invio di un'email a un indirizzo email solitamente riservato come hostmaster @ domain con un segreto di breve durata che deve essere restituito alla CA,
- richiedendo che l'utente generi una specifica voce di sfida in DNS,
- richiesta di un file di sfida specifico da una directory ben conosciuta dalla porta 80 dei domini in domanda.
Ci sono tuttavia problemi che sorgono da questo tipo di test, in quanto non è del tutto conclusivo: quando un attaccante è un MitM per la CA, questo può andare terribilmente male. Tuttavia, le autorità di certificazione controllano di solito queste cose usando diversi ISP.