¿Revocará CA un certificado a sitios web de phishing?

1 respuesta

2

En primer lugar, esto difiere para cada CA. Según un especialista de soporte técnico en GlobalSign :

  

GlobalSign no revoca el certificado sin el permiso del propietario. [...] Para los sitios de phishing, nuestro equipo de verificación realizará controles de seguridad en el dominio antes de la emisión.

Por otra parte, DigiCert tiene otras reglas:

  

DigiCert revoca los certificados por los motivos indicados en el CPS de DigiCert, incluidos los siguientes:

     
  • [...◆

  •   
  • DigiCert obtiene evidencia de que el certificado fue utilizado incorrectamente;

  •   
  • DigiCert tiene conocimiento de que un suscriptor ha violado una o más de sus obligaciones importantes en virtud de su acuerdo con DigiCert;

  •   
  • Un tercero proporciona información que hace que DigiCert crea que el certificado de firma de código está comprometido o se está utilizando para el código sospechoso;

  •   

Además, un certificado pretende indicar que realmente está conectado al sitio correcto. No da una opinión sobre el contenido o la calidad del sitio. Un certificado para fake-paypal.com es válido y correcto si está realmente conectado a fake-paypal.com, incluso si ese sitio se hace pasar por el verdadero PayPal.

Editar: DigiCert revoca certificados que han sido "mal utilizados", pero lo que esto significa exactamente está abierto a interpretación. Creo que usar un certificado para un ataque de hombre en medio es definitivamente un mal uso, pero no estoy seguro de usarlo en un sitio de phishing.

    
respondido por el Sjoerd 03.05.2017 - 10:01
fuente

Lea otras preguntas en las etiquetas