Lo que quiero decir con "cambio de ruta":
Como ejemplo práctico, mysite.example.net se configura como:
mysite.example.net. 3600 IN CNAME some-other-site.elsewhere.com.
some-other-site.elsewhere.com. 580 IN A 22.33.11.0
mysite.example.net se cambia a:
mysite.example.net. 3600 IN CNAME newsite.differentplace.com.
newsite.differentplace.com. 3600 IN CNAME some-other-site.elsewhere.com.
some-other-site.elsewhere.com. 580 IN A 22.33.11.0
(dejando de lado la no práctica recomendada de señalar un CNAME a un CNAME,) La "ruta" ha cambiado de 2 consultas a 3.
También estoy preguntando si algún número de pasos o cualquier tipo de cambio "en el medio" o hacia el lado de la dirección IP a lo largo de la "ruta" de consulta tendría algún impacto en la verificación del certificado.
Comprendo el siguiente recorte de esta pregunta es así todo el tiempo Como todas las búsquedas se originan en el lugar "correcto" (es decir, el CN del certificado coincide con la primera URL de DNS consultada), no debería haber impacto en la verificación del certificado. Cualquier número de cambios en la cadena de búsqueda y cualquier tipo de cambio no debe afectar el resultado final de la validez / verificación del certificado.
¡Pero una CA puede hacerme confiar en el servidor que quieran!
Sí, y ahí es donde entra la confianza. Tienes que confiar en la CA No hacer certificados como les plazca. Cuando organizaciones como Microsoft, Apple y Mozilla confían en una CA, la CA debe tener auditorias otra organización los revisa periódicamente para asegurarse todo sigue funcionando de acuerdo con las reglas.
La emisión de un certificado se realiza si, y solo si, el registrante puede demuestre que son propietarios del dominio para el que se emitió el certificado.
¿Tengo razón?
Por favor, no limite sus respuestas, pero específicamente, ¿algún otro certificado en el camino se enredará en la búsqueda original? (Por ejemplo, si newsite.differentplace.com tiene su propio certificado, ¿se usaría en la validación en lugar del certificado para mysite.example.net ?)