Kan sökmotorer/robotar registrera info i https-certifikat?

Har en avancerad fråga om SSL certifikat och huruvida info från SSL-anslutningar kan plockas upp av sökrobotar och hamna i sökmotorer.

Bakgrund först: Jag vill hålla mig, mitt namn och förehavanden/angelägenheter borta från nätet/sökmotorer helt och hållet. Handlar inte om paranoia eller brottslighet eller att man är hemlig transvestit eller nåt konstigt shit. Vill bara hålla mitt namn borta från världens största databas, som inte alltid är någon trevlig plats. Har bara sett mycket från internet tränga igenom skärmen in i folks privata vardag och fucka upp det rejält. F.n. finns nada info om mitt namn på nätet, alls! Förutom Ratsit, mr Koll och allt det där oficiella man inte kan få bort. Men noll annat om mig.

Sätter upp en http/ftp server nu, delvis för betalande kunder för min yrkesmässiga verksamhet (seriöst, ej porr, olagligheter eller BS). Kommer vara en http-sida, även ftp, där framsidan är en inloggningssida och resten är dolt bakom lösenord och användarkonto. Inget av mitt namn eller verksamhetsnamn, bild, email-adress, eller nåt sånt kommer förekomma vare sig på framsidan (inloggningssidan) eller ibland de lösenordsskyddade sidorna.

Så sökmotorer, sökrobotar eller annat kommer inte kunna registrera/cacha något om mig därifrån, och mitt domännamn avslöjar ingen sån info heller, som sökrobotar kan plocka upp.

Däremot vill jag (eventuellt) att folk ska kunna vara helt säkra att allt dom kan hämta på sidan kommer från just mig (i motsats till någon lurendrejare eller ID-stölds försök).

För att folk ska kunna vara helt säkra på att webbresursen tillhör just mig, kan jag behöva ett s.k. ”Utökat” SSL certifikat (EV SSL), att köra https/ftps genom. Utökat cert, betyder att CAn jag köper certet från, kommer göra en maximal kontroll för att helt säkerställa att jag verkligen är den fysiska person jag utger mig för att vara, till dom. Detta för att dom ska kunna verifiera att certet verkligen kommer tillhöra mig, och inte levereras till nån bedragare.

Utökat cert innebär även att mitt namn, som cert-ägare, kommer troligen synas både i certet och även i sid-besökares webbläsar-adressfält, intill hänglås-ikonen som symboliserar SSL-krypterad anslutning (https).

Frågan är nu … om certet och SSL-anslutningen kommer innehålla förekomst av mitt namn, samt lite info om mig … innebär det här att den infon kan komma att snappas upp av sökmotorer, sökrobotar eller cachas på internet på annat sätt? Så att någon som söker på mitt namn, på nån sökmotor, kan komma att mitt namn som kopplat till den här sajten (som annars inte innehåller förekomsten av nån info relaterad till mig)?
Det är ju något jag gärna vill undvika.

Förstår om det låter som en märklig fråga, men det betyder inte att mitt tänk är upplagt på ett dåligt sätt överlag. Vill vara dold men legitimerad på samma gång. Svår balansgång. Det är mest bara den här detaljen i sig som jag är intresserad av svar på.

Tackar så mycket för initierad information om saken

Det bästa skulle vara om användarna kunde koppla upp med VPN mot dig innan de använder https m.m. Då är det väl ingen risk att någon sökmaskin skulle komma åt ditt certifikat.

Strikt tekniskt ja, det är så klart teoretiskt möjligt. Har dock aldrig hört om någon sökmotor som faktiskt använder den informationen, men det betyder inte så mycket - inte min bransch så jag har inte koll på hur de brukar och inte brukar göra.

Har du något exempel på hur detta ser ut i praktiken? Du har väl verifierat dig mot din certifikatleverantör och det är dennes namn som syns som tex här på Flashback så syns "Verifierat av GoDaddy com, Inc."

Jag hittade denna: https://extended-validation.badssl.com/

Det är inte mycket skillnad i webbläsaren mot ett vanligt OV-cert. Jag tror man tog bort den gröna markeringen för några år sedan för att det visade sig inge falsk trygghet.

I Chrome, om du klickar dig in på certifikat-detaljerna står det på "första sidan"

Certificate is valid
Issued to: Mozilla Foundation [US]

Den "Issued to"-raden finns inte med för ett vanligt OV-cert. Men detta kan säkert också komma att ändras framöver.

Ja jag har sökt mycket på olika motorer för att se hur det verkar se ut som. Men jag får ingen klar bild av det.
Som jag förstått hittills så kan det vara olika beroende på vilken 'verifierings-grad' av certifikatet man fixar. EV ska vara den näst högsta klassningen, lite som att öppna bank-konto typ. Dvs CAn måste verifiera (hårt) att köparen är den man utger sig för att vara.

Såhär har jag fått förklarat för mig att det kan se ut i URL-raden, gällande den gröna aspekten, vid olika typer av SSL cert:
https://moz.com/uploads/blog/540d50c...8.88267717.jpg
Som Purpurhaeger här i tråden säger, så minns jag inte att jag sett mycket av den klassiska stora gröna ikonen på senare tid. Kan vara att den börjat avvecklas, åtminstone visuellt, eller så ser det olika ut i olika browsers och jag kanske använt en browser på senare år som inte visar den så tydligt.

Flashbacks SSL cert ser ut att .. jag tror det är ett DV cert, eller möjligen OV - organisations verifiering. Det är de enklare auktoritets-klassningen. Finns DV, IV, OV, EV samt Enterprise. Funktionellt sett är DV lika tekniskt osv som ett EV (den typen jag funderar på) men ett DV säger inget om vem certet tillhör, vilken sajt det tillhör osv. Jo domän-namnet ingår, men inte mer. Man måste nog bara uppge vem man är vid själva penga-transaktionen för att köpa certet, men den infon överförs inte till certet.
Själva certet är .. I princip detsamma som ett gratis cert som är vanliga idag. Står bara att det är ett wildcard cert, RSA 4096 bit, utfärdat 2001 av GoDaddy, tillhör *.flashback.org osv.

DV är alltså inte utformat att vara som en digital ID-handling, typ som ett pass. En bedragare kan då - om han är på det humöret - göra en mycket flashback-liknande sajt under domän-namnet Flashback.net (om det är ledigt) och bara fixa ett likadant DV cert själv, och göra gällande att Flashback har numera flyttat till ny adress: Flashback.net. "Vanligt folk" kan då få svårt att skilja på det äkta och det falska flashback och såna 'bus' kan ställa till det rejält på många sätt, för många. Kan lätt användas för rent kriminella syften, utpressning, bedrägerier, falsk utgivelse, en mängd jävligt jobbiga saker som kan vara svåra för polis att utreda t.o.m.

Men om Flashback haft ett EV cert, då ska det - såvitt jag kommit att förstå - framgå mycket tydligt vem ägaren till certet/domänen är, t.ex. "Jan Axelsson" eller hans bolagsnamn, och att detta faktum är verifierat av en utomstående certifikat auktoritet. Om man går till Paypal och kollar så står det tydligt att certet är utfärdat till just Paypal inc. En bedragare kan inte få fram ett cert som det står Paypal inc på, eller Axelsson, eller dennes bolagsnamn på, eftersom ID-kontrollen är hård. Så då kan folk lita helt på att den här webresursen ÄR Axelssons ställe, inte ens risken att det skulle vara fel.

Och min oro är då om den infon inte stannar i certet, utan läcker ut, till sökmotorer och shit, vilket jag inte vill. Kalla mig knäpp.
Ah just det, framtida förändringar kan komma med.
Skulle kunna fråga sökmotorerna själva, för åtminstone 'relativt' svar (dom kan svara överslätande halvsant också), om jag bara visste vart man kan skriva. Verkar extremt svårt att hitta rätt kontakt-info och e-mail till stora sökmotorerna.

Har för mig man kommer få upp ditt namn när du skaffar SSL/TLS cert. Visst din anslutning mellan server och client kommer bli krypterad men det betyder inte att man som hacker kan sniffa åt sig ex en .pcap fil och reversa till att förstå vilken del av all hiberish är själva filen. Så om hackern slipper som MitM kan dom fortfarande ändra filen.
Min rekomendation är att laga en unik hash generator som genererar en hash/nerladdning sen kan clienten verifiera att det är samma hash på nerladdningen som den som just genererats. Visst går det också att manipulera men blir lite svårare. Och sen också SSL cert på det.

Det finns specialiserade databaser som indexerar certifikat och publicerar denna information. Exempelvis https://crt.sh/
Så även om inte Google själva indexerar information från dina certifikat, så kan eventuellt en Google-sökning på ditt namn ge länkar till crt.sh om det är så att ditt namn förekommer i certifikatet.