No, no es una forma adecuada de comprobarlo. Los certificados de larga duración se están perdiendo en gran medida debido a las implicaciones de seguridad, y en realidad son menos confiables que los de corta duración. El razonamiento detrás de esto es el siguiente:
Supongamos que usted es dueño de un sitio web y compra un certificado TLS con una validez de 10 años. Ahora suponga que la clave se ve comprometida el primer día, y nunca se entera de esto. Quienquiera que haya obtenido la clave para ese certificado ahora puede hacerse pasar por su sitio web durante los próximos 10 años . Si, en cambio, tuvieras uno que fuera válido solo durante 3 meses, la cantidad de daño que el atacante podría hacer sería significativamente menor.
En lo que respecta a la verificación de si un certificado es legítimo o no, no hay nada que usted, como usuario, pueda hacer.
- Los períodos de validez están fuera, porque esa es la política local. Algunas personas aún desean pagar por certificados de validez larga, por lo que aún verá dichos certificados en uso regular, especialmente entre las compañías que han estado usando SSL / TLS por más tiempo (bancos, por ejemplo).
- La fecha de emisión también está fuera, por la misma razón que los períodos de validez no son buenos. Puede considerar cuestionable uno cerca del final de su período de validez, pero eso no va a ser confiable.
- La validación del dominio está fuera, ya que no es difícil para los atacantes falsificar los registros DNS requeridos (el DNS sigue siendo una de las partes más inseguras de Internet).
- La validación extendida está fuera, ya que es en gran parte una broma, ya que la mayoría de las compañías que la proporcionan lo hacen, y algunas compañías populares simplemente no lo hacen en absoluto (en gran parte porque realmente tiene un valor casi cero para asegurar las comunicaciones).
El explorador ya realiza automáticamente todas las demás comprobaciones que puede hacer al analizar el certificado en sí mismo (verificando que el certificado sea válido y no haya sido revocado, que coincida con domai y que el servidor tenga la clave asociada) ).
Dicho esto, deberías buscar activamente typosquatting , que puede ser un poco más obvio si estás buscando en el propio certificado. Sin embargo, una mejor defensa para esto es asegurarse de que su navegador muestre caracteres no ASCII en los nombres de dominio en su forma de escape o código de código.