CA会吊销钓鱼网站的证书吗？

Question

通常，网站会说“除非你看到安全图标，否则不要登录”。如果用户没有注意到URL是错误的(或者像这最近发现的那样具有误导性)，并且完全信任这个图标，他们可能会成为网络钓鱼攻击的受害者。在这种情况下，CA会撤销网络钓鱼网站的证书吗?还是我遗漏了撤销的点？此外，如果CA撤销网络钓鱼网站的证书，有什么众所周知的例子吗？

Answer 1

首先，对于每个CA来说，这是不同的。据GlobalSign的一位技术支持专家说：

未经所有者许可，GlobalSign不撤消证书。...对于网络钓鱼网站，我们的审查小组将在发布前对域名进行安全检查。

另一方面，DigiCert还有其他一些规则：

DigiCert基于DigiCert CPS中所述的原因撤销证书，包括以下内容：

• ...
• DigiCert获得证明证书被滥用的证据；
• DigiCert知道订户违反了其与DigiCert的协议规定的一项或多项重要义务；
• 第三方提供的信息使DigiCert相信代码签名证书已被泄露或用于可疑代码；

此外，证书意味着您确实已连接到正确的站点。它不会对网站的内容或质量作出判断。如果您真的连接到了fake paypal.com，即使该站点模拟真实的PayPal，该网站的证书也是有效和正确的。

编辑: DigiCert撤销已被“滥用”的证书，但这到底意味着什么是开放的解释。我认为对中间人攻击使用证书肯定是滥用的，但我不确定是否在网络钓鱼网站上使用它。