Un certificado de servidor tendría su nombre de dominio en su campo de asunto. Un certificado personal tendría su nombre como campo de asunto. ¿Cómo puede estar seguro de que no hay dos certificados con el mismo nombre?
Ej .: - Supongamos que necesita enviar algunos datos cifrados al usuarioA. ¿Cómo puedes estar seguro de que es un usuario y no otra persona? Solo con verificar el nombre en el certificado, no se eliminaría el riesgo de un hombre en el ataque central, supongo.
El propósito de un certificado es vincular una clave pública con una entidad y esto es responsabilidad de la Registration Authority de la PKI para garantizar que la identidad de la entidad en el certificado coincida con la entidad titular de la clave (por ejemplo, para el certificado SSL una entidad puede ser un servidor, la identidad es el nombre de dominio).
Los procedimientos que describen cómo se realiza esta coincidencia con la RA se pueden encontrar en un documento público publicado por PKI y denominado Política de certificados .
Esta es la responsabilidad del usuario de un certificado (para el cifrado de la validación de firma) de leer el CP y decidir qué tan confiable es la Autoridad de Certificación que emitió este certificado. Por supuesto, no confía lo mismo en algunas PKI que declaran que solo se verifica el correo electrónico del titular de la clave y una PKI que entrega el certificado en una tarjeta inteligente, directamente en las manos del titular de la clave, con una verificación de identificación oficial. Pero a veces la verificación del correo electrónico puede ser suficiente.
En realidad, las preguntas más importantes que debe hacer son:
¿Qué te parece usar la dirección de correo electrónico del usuario como identificador?
Si necesita un identificador único, use el número de serie del certificado combinado con el DN del emisor. Así es como lo hace OCSP, y se garantiza que es único. Como dice nealmcb: la RA verifica la información descriptiva en el certificado (DN del sujeto, nombre alternativo del sujeto, etc.) y no se requiere que sea única, a menos que su CA tenga una práctica comercial de administrar la singularidad. Algunos grupos sí. Pueden incluir la identificación del empleado en el DN del sujeto, por ejemplo, y compararla con la base de datos de la compañía como parte del proceso de inscripción. Pero para implementar algo así, debes estar seguro de que te estás quedando con un sistema PKI que proporciona esto.
Lea otras preguntas en las etiquetas cryptography certificates