Si compro un nombre de dominio que ha caducado, ¿tengo alguna garantía de que el propietario anterior no tenga un certificado HTTPS válido para el sitio? En otras palabras, ¿las CA verifican las fechas de vencimiento del nombre de dominio cuando emiten un certificado para garantizar que el certificado no supere la propiedad del dominio? O, alternativamente, ¿las CA monitorean la propiedad de los nombres de dominio y revocan los certificados de los dominios que se han eliminado?
¿Tengo alguna garantía de que el propietario anterior no tiene un válido Certificado HTTPS para el sitio?
No, no lo haces.
Las CA pueden emitir un certificado que sea válido después de la fecha de caducidad del dominio (en el momento de la emisión). Incluso si no lo hicieran, un dominio podría transferirse antes de su fecha de caducidad.
Además, es posible que no pueda controlar todas las CA que existen y en las que confían clientes potenciales. Incluso si hubiera un esquema que pudiera monitorear las actualizaciones de registro del dominio, no todas las CA podrían ser parte de ese esquema. Posiblemente no puede conocer exactamente todas las CA en las que pueden confiar sus usuarios potenciales.
Puedo crear mi propia CA y emitir un certificado válido para los próximos 20 años para un dominio que aún no existe. Por supuesto, ese es un ejemplo extremo e inútil, pero si lo uso como una CA interna y luego registra ese dominio, no tendría forma de saberlo.
Por supuesto, podría restringir su suposición a las CA principales. Sin embargo, hasta donde sé, no supervisan los cambios en la base de datos de whois, al menos para los certificados validados por el dominio (no estoy seguro de que exista alguna provisión para esta situación con certificados EV).
Si tomamos como ejemplo Declaración de práctica de certificación de Verisign , no parece haber ningún control en la fecha de finalización de la propiedad del dominio (consulte las condiciones de validación del dominio, páginas 83 y 84: nada sobre las fechas). En realidad, el mismo CPS afirma que consideran que una validación de dominio es válida hasta por 13 meses (consulte la página 76), y la vida útil máxima de un certificado EV es de 27 meses, por lo que la mejor garantía que puede esperar es que no haya certificado para un nombre de dominio excederá el final de la propiedad del dominio por más de 40 meses . Que es un poco largo.
Y aquí solo hablamos de los certificados EV de Verisign. Cada CA tiene sus propias reglas y no parece haber ningún consenso o límites fuertemente implementados en ese asunto. En última instancia, es responsabilidad del proveedor del sistema operativo / navegador establecer límites, pero, por lo que sé, Microsoft / Mozilla / Apple no tiene regulaciones para concordar los períodos de validez del certificado con la caducidad del dominio.
Es posible que pueda mitigar este riesgo implementando TLSA (también conocido como DANE) , donde esencialmente almacena su Servidores web de clave pública en DNS. Esto es actualmente compatible con Chrome.
No estoy seguro de si el certificado del propietario anterior tiene prioridad sobre DANE, o viceversa. Teniendo en cuenta el problema de seguridad que aborda, tendría sentido que todos los navegadores TLS intenten DANE verificar la conexión (preferiblemente a través de DNSSec) que los HTTPS tradicionales
Lea otras preguntas en las etiquetas tls certificates certificate-authority certificate-revocation dns-domain