magoma
La stragrande maggioranza dei certificati sono emessi senza alcun controllo particolare. Anche con Let's Encrypt basta dimostrare di avere il controllo del dominio e emettono il certificato senza problemi. I certificati EV alla fine non sono stati la soluzione e i browser non li mettono più in evidenza. Considerate i certificati solo come necessari per cifrare la comunicazione, ma quanto ad affidabilità del sito lasciano ormai il tempo che trovano. Purtroppo si è posta troppa enfasi sulla cifratura e molto poca sull'autenticazione - anche perché i controlli hanno un costo, però la cifratura serve a poco se l'endpoint è truffaldino.
Né fanno alcuna forma di controllo se non per i nomi più noti i registrar che rilasciano i nomi di dominio. Certo, se qualcuno cerca di registrare apple.app qualche dubbio gli viene - unieuro probabilmente non sanno nemmeno cos'è - anche se Google potrebbe sicuramente fare di meglio. Ma i soldi ormai si fanno solo vendendo i domini a palate, e "pecunia non olet".
