Si solicito el certificado de example.com y el servidor responde con el certificado (legítimo) de notexample.com, ¿el navegador arrojará un error?
Si solicito el certificado de example.com y el servidor responde con el certificado (legítimo) de notexample.com, ¿el navegador arrojará un error?
De hecho, se supone que el navegador web se queja en voz alta si el nombre del servidor destinado (el de la URL de destino) no aparece en un lugar adecuado en el certificado del servidor (normalmente como un Nombre alternativo del sujeto extensión de tipo dNSName). Consulte RFC 2818, sección 3.1 .
En la práctica, los navegadores modernos emiten advertencias muy notorias, a menudo aterradoras y rojas. Algunos navegadores permiten "hacer clic" en la advertencia con más o menos facilidad (pero, por supuesto, no debes hacer eso).
Depende de tu navegador.
La mayoría te dejará pasarte por alto. (A menos que también tengas HSTS para ese dominio).
Puedes probarlo tú mismo:
Probar este sitio incorrecto:
Certificado válido, nombre de host incorrecto, HSTS no infringido: enlace (Informe here .)
Antes de probar el siguiente sitio incorrecto:
Visite este sitio para asegurarse de que su navegador cargue la regla de HSTS: enlace
Y luego proceda a este sitio incorrecto:
Certificado válido, nombre de host incorrecto, HSTS violado: enlace (Informe here .)
Editar 2015-06-12: Corrección de errores. Paso intermedio añadido. Esto era necesario para que el navegador tuviera la oportunidad de saber que existía una regla de HSTS. De lo contrario, el navegador no puede decir que se viola algo en el siguiente paso. (Es posible que este paso intermedio ya no sea necesario en el futuro, porque badssl.com ha solicitado su inclusión en la lista de precarga de HSTS. Pero eso no sucederá antes de Chrome 44 o Firefox 41.)
Lea otras preguntas en las etiquetas tls certificates