Como se indicó en ¿Alguna tecnología funciona? ¿Impedir que una CA revoque unilateralmente un certificado? , me siento un poco incómodo con la posibilidad de que las CA realicen la licencia de un sitio web para operar (dada la desestimación de facto de HTTP no cifrado).
¿Hay alguna obligación en una CA de emitir un certificado si la entidad solicitante proporciona el nivel necesario de verificación de identidad?
Buena pregunta.
Le está pagando a la CA el servicio de verificación de su CSR en comparación con los registros públicos, y está poniendo su reputación en la línea por usted. No estoy seguro de si una CA está obligada por contrato a brindarle servicio. ¿Se requiere que un abogado lo represente en el tribunal tan pronto como entre en su oficina?
Supongo que una CA tiene la autoridad para:
Puedo ver por qué esto causaría cierta preocupación pública en un mundo posterior a Snowden. Permítame asegurarle que (según mi conocimiento) las AC son empresas privadas que actúan por sus propios intereses económicos sin afiliaciones gubernamentales, y que las raíces públicas de SSL son auditadas de manera rutinaria por muchos paneles gubernamentales gubernamentales y multinacionales que buscan por ese tipo de fraude. Una CA que se encuentre atrapada haciendo algo sucio saldrá del negocio muy rápidamente.
Como dijo @Matthew en la respuesta principal a la pregunta vinculada, todo el sistema funciona en
Presión de los compañeros, efectivamente.
[Descargo de responsabilidad ya que he sido acusado de sesgo antes; Trabajo para una CA]
Aunque no está en su pregunta, me gustaría hacer una distinción entre Dominios validados y Extended Validation certs.
Un certificado DV le costará 0 $ - 5 $, y la emisión es completamente automatizada: solo necesita demostrar que posee el registro DNS y que puede colocar un archivo en el servidor que responde a esa dirección IP . Si bien no hay garantía de que esto esté libre de influencia política, es bastante seguro.
Los certificados de EV involucran a personas y papeleo y llamadas telefónicas y esas cosas. Este es el lugar donde sus sospechas podrían estar justificadas.
Dado que los certificados DV son tan fáciles de obtener, su temor de que una CA (o un consorcio político de CA) pueda de facto bloquear el funcionamiento de un sitio web no está realmente justificado, siempre que está bien con el candado antiguo, no con la barra super verde.
Lea otras preguntas en las etiquetas tls certificate-authority