Honestamente, realmente no entiendo por qué necesitamos certificados SSL. Sí, esta es una pregunta tonta, pero solo tengan paciencia conmigo ...
En primer lugar, ¿no es un certificado solo para verificar que está llegando a la URL correcta? Pensé que una URL es única, ¿por qué no solo miras la URL para asegurarte de que estás visitando google.com en lugar de gogle.com
En segundo lugar, ¿qué comprueban CA cuando emiten certificados?
Espero que alguien pueda aclarar estas preguntas.
¿Por qué necesitamos certificados SSL?
El cliente comprueba el certificado del servidor para asegurarse de que se comunica con el servidor esperado y no con un intermediario. Es por eso que el certificado debe ser válido (no vencido, no revocado), debe estar firmado por una CA que el cliente confía y debe emitirse para el sitio que el cliente visita, es decir, los sujetos (que incluyen los nombres alternativos del sujeto) deben coincidir con el dominio de la URL.
¿Qué comprueban CA cuando emiten certificados?
Cuando alguien solicita un certificado de una CA, la CA debe verificar que esta persona sea realmente propietaria del dominio. Hay varios métodos para hacer esto: algunos envían un correo a direcciones específicas en el dominio, otros esperan que el propietario reclamado del dominio proporcione un archivo específico con un contenido especificado por la CA en una posición específica en el sitio web de dominios. Y para los certificados EV, la empresa también tiene que enviar varios documentos.
Además, algunas CA verifican que el dominio no sea algo que probablemente se utilice para el phishing, es decir, que contenga referencias a Paypal o similar. Para obtener información mucho más detallada, consulte los diversos documentos que se pueden encontrar en CA / Browser Forum .
Lea otras preguntas en las etiquetas tls certificate-authority