No .
Una CA tiene la responsabilidad de verificar que la persona que solicita un certificado para un dominio sea el propietario del dominio en cuestión. No corresponde a la AC realizar la censura de los nombres de dominio, ni vigilar lo que las personas hacen con un certificado una vez que lo tienen.
Ahora, su preocupación ya se encuentra un poco atendida por los niveles más altos de certificados SSL, pero depende de la corporación que solicita el certificado gastar el tiempo y el dinero adicionales para obtenerlo.
Hay efectivamente dos niveles de certificados que puede comprar: Validación de dominio (DV) y Validación extendida (EV). Los certificados DV están diseñados para tener una emisión automatizada y son el tipo de certificado que emitimos Let's Encrypt. Los certificados de EV tienen niveles mucho más altos de verificación antes de la emisión, y requieren llamadas telefónicas, papeleo, etc.
wikipedia / Extended_Validation_Certificate :
Criterios de emisión
Solo las CA que aprueban una revisión de auditoría calificada independiente pueden ofrecer EV, [5] y todas las CA deben seguir los mismos requisitos detallados de emisión que apuntan a:
-
Establezca la identidad legal, así como la presencia operativa y física del propietario del sitio web.
-
Establezca que el solicitante es el propietario del nombre de dominio o tiene control exclusivo sobre el nombre de dominio.
-
Confirme la identidad y la autoridad de las personas que actúan para el propietario del sitio web, y que los documentos relativos a obligaciones legales están firmados por un oficial autorizado.
Tenga en cuenta que para los certificados EV, la entidad legal que solicita el certificado debe ser una corporación, no un individuo, y el nombre de la corporación está incluido en el certificado y aparece en la barra de estado de su navegador.
ej: certificado no EV:
ej:EVcert:
¿ObservecómoapareceelnombrelegaldePayPalenlabarradedirecciones?Esoescasiimposibledefalsificar,yestamoselevandoelnivelparalosspammers:laúnicamaneradeobtener"PeyPal, inc" sería incorporar realmente una empresa, lo que las organizaciones delictivas normalmente no quieren hacer. Entonces, una vez que los usuarios se acostumbren a buscar esto en sitios web de renombre, este problema se resolverá por sí solo. Desafortunadamente, debido a la cantidad de verificación manual involucrada, los certificados de EV son costosos (cientos de $ USD por año), y las CA como Let's Encrypt o Godaddy nunca los ofrecerán.
En términos generales, una CA es como la oficina de pasaportes o la oficina que emite las licencias de conducir; tienen la responsabilidad de garantizar que A) usted es quien dice ser y B) que ha cumplido con los requisitos (es decir, usted es un ciudadano / ha superado sus exámenes de manejo). No tienen la responsabilidad de rastrear lo que está haciendo con esa identificación, ni es legal que revocen su pasaporte / licencia de conducir, incluso si los usa para fines ilegales.
Comentario de direccionamiento:
¿Hay un historial de emisores de certificados que revocan certificados debido a un uso infame, aunque no tienen la responsabilidad legal de hacerlo?
No, definitivamente no. Una CA se cerraría si lo hicieran.
Piénselo de esta manera: las Autoridades de Certificación deben ser una tercera parte completamente neutral y de confianza global. Si tienen el poder de emitir juicios sobre lo que cuenta como "nefasto" y revocar los certificados basados en eso, entonces no serían neutrales y serían de confianza global, ¿o sí?
Podría pensar que el navegador podría reunirse y crear un conjunto estricto de reglas para lo que cuenta como "nefasto", de modo que las AC solo apliquen las reglas. ¿Pero qué lograría eso realmente? Los phishers y los estafadores son muy buenos para deslizarse a través de las reglas. Probablemente gastaríamos más tiempo y esfuerzo discutiendo sobre las reglas que la cantidad de beneficios que obtendríamos de ellas.