Debido a que Let's Encrypt no proporciona la validación de entidad, ¿es cierto que uno puede, por ejemplo, generar un certificado que tenga "Facebook Inc." como organización para un dominio falso faceb00k.com ?
Aunque Let's Encrypt emite certificados validados por el dominio y esto garantiza solo que una entidad propietaria solicitó un certificado el dominio, tiene políticas establecidas para evitar los impostores en ciertos casos.
De acuerdo con la estipulación "3.2.4.3 Verificación contra solicitudes de certificados de alto riesgo" en la "Declaración de Prácticas de Certificación ISRG" (v1.4, 5 de mayo de 2016) :
Para evitar posibles phishing, uso fraudulento y tomar precauciones adicionales contra posibles compromisos, La CA mantiene una lista de solicitudes de alto riesgo anteriores y verifica una lista de autoridades de terceros especificando las actuales Nombres de dominio de alto riesgo. Los servidores utilizan esta lista para identificar los riesgos potenciales. En caso de una solicitud con cualquier riesgo potencial que suponga para la CA o un Nombre de dominio que figura en la lista de autoridades de terceros, será marcados y señalados a la atención de la gerencia para completar una verificación interna adicional. Para prevenir Emisión de alto riesgo de un certificado DV-SSL, esta verificación interna requerirá uno o más de los siguientes pruebas:
- Solicite documentación adicional que confirme el control del dominio al solicitante;
- Examen cuidadoso del FQDN para confirmar si la intención del Registrador de Dominio o El solicitante debe imitar o engañar a los clientes de un FQDN en la lista de autoridad de terceros de alto riesgo para cometer actividades fraudulentas o de suplantación de identidad (por ejemplo, www.g00gle.com, www.1dentrust.com, etc.) y los filtros específicos que se establecen a nivel del sistema para denegar las solicitudes iniciales (por ejemplo, caracteres ASCII no estadounidenses);
- Revisión manual de toda la información proporcionada en el formulario de solicitud en línea; y / o
- Otra prueba verificable según lo juzgue necesario la gerencia de la CA.
De acuerdo con lo anterior, es muy probable que no puedas obtener un certificado para faceb00k.com .
Independientemente de eso, Vamos a cifrar los certificados tener solo el valor del Nombre común configúrelo en un dominio verificado (por ejemplo, CN=example.com ), por lo que nunca podría obtener un certificado de ellos con O=Facebook Inc. , incluso para un dominio que no esté sujeto al proceso de verificación anterior.
Lea otras preguntas en las etiquetas certificates certificate-authority letsencrypt