Сертификаты SSL часто рекламируют различные суммы гарантий, например, 500 000 долларов или 1 миллион долларов.
Мой вопрос, в истории SSL, кто-нибудь когда-либо фактически успешно требовал одну из этих гарантий? Был ли когда-нибудь случай? Если нет, то справедливо ли предположить, что они всего лишь маркетинговые уловки?
Ответы:
На самом деле гарантия вводит в заблуждение, потому что она не выдается покупателю сертификата - она выдается пользователям сайта. Допустим, вы предоставляете данные своей кредитной карты веб-сайту, который подтвержден центром сертификации, который предоставляет гарантию, и (мошенническим) сайтом отнимает у вас деньги, тогда вы можете использовать гарантию, чтобы вернуть утраченные деньги.
В действительности, этого почти никогда не происходит. СА крайне редко ( хотя и не совсем неслыханно ) выдает сертификат мошенническому субъекту. И когда это случается, это в значительной степени конец ЦА - все доверие теряется, и оно не может продолжать вести бизнес. DigiNotar объявил о банкротстве в течение месяца после этого скандала.
Обратите внимание, что это также не распространяется на фишинговые сайты. Таким образом, если вы предоставите данные своей кредитной карты на «paypal.com.scammer.org», тогда, даже если этот домен может быть проверен ЦС, это все равно ваша вина. Это произойдет только в том случае, если центр сертификации по ошибке предоставит сертификат для «paypal.com» кому-то, кто не является PayPal.
источник
Нет, они не должны быть маркетинговыми уловками!
Сертификаты не выдаются никому.
Компании, которые являются доверенными эмитентами, проводят исследования кого-то, запрашивающего сертификат, который действительно является тем, кем он заявляет, и что он имеет законный бизнес.
Например, если вы подключаетесь к веб-сайту, который является мошенничеством, но получил сертификат от Verisign (упомянутый в качестве примера), я ожидаю, что вы можете предпринять множество юридических действий против (как сайта, так и эмитента).
SSL основан на доверии, который является очень тонким понятием, когда речь заходит о компьютерной безопасности.
Если доверенные эмитенты не справляются со своей работой достаточно хорошо, то безопасность теряется.
Лично я не знаю, есть ли какой-нибудь исторический пример по этому поводу (надеюсь, его нет)
источник