它不仅仅是该域中的任何电子邮件地址。我有一个有效的 gmail 地址，但这不足以让威瑞信相信我拥有 gmail.com。

相反，至少，您需要控制一组特定地址中的一个，包括域的 whois 记录中列出的电子邮件地址，通常还包括以下一些：

• admin@example.com
• 管理员@example.com
• hostmaster@example.com
• root@example.com
• webmaster@example.com
• postmaster@example.com

除此之外，根据所涉及的域并且通常由自动标记系统触发，它们可能需要 CA 的员工进行额外的手动验证。例如，如果您要尝试获取 microsoft.com 的证书，即使您确实控制了上面列出的电子邮件地址之一，它也可能无法正常工作。

给定证书颁发机构的注册机构具有管理他们如何验证请求者身份的规则。并非所有当局都有同等的安全或质量控制。该系统依赖于注册机构进行适当的尽职调查，但如果他们以次充好，有人可能会遇到不应该的证书问题。

这就是引入扩展验证 (EV) 证书的原因。要获得其中一个证书，需要进行更多的背景调查和尽职调查，从而为最终用户提供更大的保证，使其获得合法证书。颁发 EV 证书有行业指南。

例如：

9.2.1 主题组织名称字段

证书字段:subject:organizationName (OID 2.5.4.10 )

必填/可选：必填

内容：此字段必须包含主体的完整合法组织名称，如主体注册或注册管辖区的注册或注册机构的正式记录中所列，或如本文提供的 CA 以其他方式验证的那样。CA 可以缩写组织名称中的组织前缀或后缀，例如，如果官方记录显示“Company Name Incorporated”，CA 可以包括“Company Name, Inc.”。

您可能会发现这个博客，为什么证书颁发机构/浏览器基线要求如此重要？，在赛门铁克的网站上对这个问题很有用。