我最近被一个冒充合法公司的网站骗了。
该企业在香港交易所上显示为合法企业,我检查了其他几个来源的合法性,企业本身也是合法的。但是,该网站不是,也没有链接到他们。SSL 证书是 letsencrypt,当然,没有要求使用 letsencrypt 证书注册合法企业,但即使诈骗者已经在 setigo 注册,他们也可以使用任何企业在 setigo 注册,这不必反映在域名中,但如果 setigo 在 SSL 证书中公开企业地址、名称等,那么网站访问者就可以确定该网站是否合法代表该企业。我现在正在查看另一个具有 setigo SSL 证书的网站,但我无法从浏览器提供的证书中获得有关其注册的企业的任何信息。
有没有办法从证书本身获取注册 SSL 证书的企业信息?
答案1
EV(扩展验证)证书已验证有关企业的信息,但不包括普通的 DV(域验证)证书。这些证书获取所需的只是控制证书颁发给的域。因此,您可以尝试whois 查询搜索该域名以查找谁注册了该域名,但通常这些信息被域名注册商故意隐藏。
除此之外,证书绝不能用于假设网站的安全性或可信度。绑定到域名的服务器证书仅用于保护 HTTPS 加密,确保客户端实际连接到 URL 中给出的域名,而不是连接到拦截对真实域的访问的中间人攻击者。
答案2
不,除了您已有的信息外,证书文件中没有任何其他信息。
但是,这种情况很常见,您举报的当局可以向互联网安全研究小组 (ISRG) 发出传票,要求其提供 ISRG 保留的信息,例如与请求者关联的 IP 地址和电子邮件地址。更多信息:
https://community.letsencrypt.org/t/trying-to-find-the-certificate-owner/100185/2