Можно ли подделать DNS центр сертификации SSL?

Список доверенных центров сертификации, который есть в браузерах (и других клиентах TLS), состоит из списка открытых ключей CA. Им не нужно подключаться к ЦС для доступа к ключу. Этот механизм можно расширить, импортировав открытый ключ других центров сертификации (корпоративных или частных), которым вы хотите доверять.

Центры сертификации действительно ведут списки отозванных сертификатов. Необходимо связаться с центром сертификации, чтобы проверить, не был ли отозван сертификат. Результаты этой проверки можно кэшировать, поэтому нет необходимости проверять каждый раз, когда отображается сертификат. В этом нет необходимости, если сайт использует сшивание OSCP для обеспечения подписанной проверки.

Возможно, существует возможность подделать DNS для перенаправления запросов на отзыв. Однако дать должным образом подписанный ответ будет крайне сложно.

Существует риск того, что кто-то может убедить ЦС предоставить сертификат, который не принадлежит организации, указанной в сертификате. Это одна из причин отзыва сертификатов. Существуют механизмы, позволяющие организациям опубликовать центр сертификации или центры, которым разрешено подписывать свои сертификаты.

Можно усложнить описанную атаку, отозвав доверие для большинства сертификатов по умолчанию. Это должно заставить браузер выдавать предупреждение, если он получает сертификат, подписанный ненадежным центром сертификации. Центры сертификации теперь знают об этой проблеме и вряд ли будут выдавать сертификаты для сайтов, использующих эту атаку. Провайдер браузера, скорее всего, удалит все центры сертификации, которые выдают сертификаты, используемые в таких атаках.

Описанная атака маловероятна, если вы просматриваете сайты, используя URL-адреса из закладок или недавно посещенных сайтов. Поддельные URL-адреса будут вам нравиться, но браузеру все равно, как выглядит URL-адрес.