¿Es posible que un atacante falsifique una solicitud de firma de certificado para poder hacerse pasar por otra persona? (robando el csr antes de que se firme y cambiándolo)
Imagine que alguien malvado está espiando su comunicación en el momento exacto en que envía la CSR a la CA (firmante):
El atacante intentará hacerse pasar por usted enviando la CSR y obteniendo un certificado para su sitio. Sin embargo, la entidad firmante realizará verificaciones de identidad adicionales para asegurarse de que es el propietario del sitio especificado en el CSR (es decir, contacto por correo electrónico, contraseña de desafío, carga del archivo x ...). Entonces el atacante debe controlar algo más que la CSR obtenida.
Tenga en cuenta que la CSR lleva una firma digital de la información de solicitud de certificado, por lo que el atacante no puede simplemente incrustar la clave pública de Google, ya que no puede crear firmas válidas, por lo que CA sabrá que el propietario de la clave pública no es el solicitante.
Lea otras preguntas en las etiquetas certificate-authority x.509