Respuesta corta: está en la CSR.
Respuesta más larga:
Cuando genera una CSR a partir de un par de claves, proporciona a la CA información sobre qué propiedades debe tener el certificado (para qué dominio (s) / nombres, etc.).
Hay diferentes maneras en que las entidades de certificación pueden verificar que la CSR en realidad proviene del propietario legítimo de los dominios para los cuales está la CSR. Las CA diferentes usan diferentes métodos y, para certicifatos regulares (sin OV / no EV), esto generalmente se reduce para mostrar que usted tiene control sobre el dominio (s) por ejemplo
- enviar un correo electrónico a una dirección de correo electrónico generalmente reservada como hostmaster @ domain con un secreto de corta duración que debe ser devuelto a la CA,
- solicitando que el usuario genere una entrada de desafío específica en DNS,
- solicitar un archivo de desafío específico de un directorio conocido del puerto 80 del dominio (s) en pregunta.
Sin embargo, hay problemas que surgen de este tipo de pruebas, ya que no es completamente concluyente: cuando un atacante es un MitM para la CA, esto puede salir terriblemente mal. Sin embargo, las CA suelen volver a verificar estas cosas utilizando diferentes ISP.