La respuesta corta: si posee un dominio, puede obtener un certificado para ese dominio, punto. Su similitud con otro dominio es irrelevante.
La pregunta más grande parece ser "qué tipo de mirar en una página https debo hacer para asegurar que sea realmente la página que creo que es antes de ingresar mis credenciales".
La respuesta breve a esta pregunta es que debe buscar que la barra de direcciones se vuelva verde, lo que indica un certificado EV (ver más abajo). Puede considerar además utilizar algo similar al proyecto Perspectivas ( sitio ) que omite el sistema de CA y Es vulnerabilidades y proporciona un control independiente.
Hay algunas cosas acerca de los certificados que debe saber para comprender mejor esta respuesta:
De hecho, hay al menos tres niveles diferentes de certificado https (consulte aquí por ejemplo, y aquí para obtener una lista más completa de los tipos de certificados) :
- Certificados de validación de dominio (DV)
- Certificados de validación organizativa (OV)
- Certificados de validación extendida (EV)
Un certificado DV mostrará el candado en su navegador. Cuando una CA emite un certificado DV, está afirmando que la persona de la que obtuvo este certificado tiene el control del nombre de dominio en cuestión. Eso es todo. Esto se puede certificar, por ejemplo, mediante un bucle de correo electrónico a, digamos, [email protected], o por el CV que solicita que se coloque información aleatoria en una página específica de ese dominio.
Un certificado OV requiere más comprobaciones que eso, y un certificado EV requiere aún más comprobaciones. Al emitir un certificado EV, la CA está afirmando que la entidad nombrada en el certificado realmente existe, y que alguien en esa compañía realmente solicitó el certificado. Cosas como el número DUNS para la compañía son revisadas y revisadas.
Un certificado EV generalmente cambia la barra de direcciones a verde de alguna manera. Esto le brinda toda la seguridad que puede obtener del sistema de CA de que el servidor web con el que está hablando es lo que cree que es (si alguna CA de su navegador ha emitido un certificado falso para ese sitio en el que se encuentra) problema - de ahí el problema con el sistema de CA).
Confusamente, los certificados OV a menudo no tienen una forma especial de distinguirlos de los certificados DV. Suspiro.
Tenga en cuenta que el proyecto de perspectivas no es infalible. Lo uso yo mismo, y siempre informa que se está suplantando a Google cada vez que me conecto. Esto se debe a que Google cambia sus certificados tan rápidamente y tiene muchos de ellos, no debido a un ataque real. Aún así, para muchos sitios proporciona una doble verificación útil.