¿Cómo pueden estar seguros los sitios web HTTPS dado que cualquier operador no autorizado puede comprar un certificado de una autoridad de certificación confiable?

“Cualquier operador no autorizado puede comprar un certificado de una autoridad de certificación de confianza”

En realidad no, nadie puede comprar un certificado para un dominio sin demostrar que lo posee, y algunos tipos de certificados requieren incluso más controles administrativos (EV = certificados de validación extendida, es decir, la barra verde).

Hoy en día, también está Cert Pinning, que es utilizado por algunos sitios web. En este caso, la primera vez que visita un sitio web, su navegador recuerda el hash de la clave pública del certificado durante algún tiempo … Si se le presenta otro certificado para el mismo dominio, el navegador le ladrará. No se usa mucho porque es “peligroso”: si un sitio web pierde sus claves, no se puede emitir un nuevo certificado que pase la verificación de Fijación de Cert.

Sin embargo, debe asegurarse de que su Trust Store sea seguro: contiene los certificados raíz de confianza, y si un operador de red puede agregar un certificado de CA raíz que controla, puede emitir cualquier certificado … Nunca agregue una CA raíz a su almacén de confianza si usted ‘ No estoy seguro de que debas. Por cierto, así es como las empresas pueden monitorear el tráfico https de sus empleados.

Supongo que está hablando de alguien que se hace pasar por un sitio web. En ese caso, depende completamente de la persona que navega por el sitio web decidir si acepta o no la advertencia del certificado. Casi todos los navegadores modernos lanzarán una advertencia diciendo que desea continuar ya que este no es un certificado confiable. Para obtener un certificado real emitido a un nombre de dominio sobre el que no tiene control … eso no es fácil, ya que existen controles básicos para verificar si realmente posee el dominio.