Кто-нибудь когда-нибудь претендовал на гарантию SSL-сертификата? [закрыто]

20

Сертификаты SSL часто рекламируют различные суммы гарантий, например, 500 000 долларов или 1 миллион долларов.

Мой вопрос, в истории SSL, кто-нибудь когда-либо фактически успешно требовал одну из этих гарантий? Был ли когда-нибудь случай? Если нет, то справедливо ли предположить, что они всего лишь маркетинговые уловки?

web-development web-services websites certificate ssl Том
источник
Не совсем по теме для этого сайта, может быть лучше на security.stackexchange.com .
Циклоп
@Cyclops Я пытался в обмен веб-мастеров, но они закрыли его, я не знаю, где это опубликовать
Том
Я не думаю, что сейчас есть сайт в сети, который бы задал этот вопрос: это просто пустяки. Определенно не по теме: ничего общего с разработкой программного обеспечения.
Это может быть разумно подходит для скептиков. SE, так как они любят разоблачать вещи, и эта гарантия звучит как большая «койка».
Роман Старков

Ответы:

15

На самом деле гарантия вводит в заблуждение, потому что она не выдается покупателю сертификата - она ​​выдается пользователям сайта. Допустим, вы предоставляете данные своей кредитной карты веб-сайту, который подтвержден центром сертификации, который предоставляет гарантию, и (мошенническим) сайтом отнимает у вас деньги, тогда вы можете использовать гарантию, чтобы вернуть утраченные деньги.

В действительности, этого почти никогда не происходит. СА крайне редко ( хотя и не совсем неслыханно ) выдает сертификат мошенническому субъекту. И когда это случается, это в значительной степени конец ЦА - все доверие теряется, и оно не может продолжать вести бизнес. DigiNotar объявил о банкротстве в течение месяца после этого скандала.

Обратите внимание, что это также не распространяется на фишинговые сайты. Таким образом, если вы предоставите данные своей кредитной карты на «paypal.com.scammer.org», тогда, даже если этот домен может быть проверен ЦС, это все равно ваша вина. Это произойдет только в том случае, если центр сертификации по ошибке предоставит сертификат для «paypal.com» кому-то, кто не является PayPal.

Дин Хардинг
источник
Таким образом, если я покупаю сертификат у Регистратора X, то Регистратор Y передает сертификат на мошеннический сайт, тогда будут ли пользователи требовать от Регистратора X или Регистратора Y?
dave1010
1

Нет, они не должны быть маркетинговыми уловками!

Сертификаты не выдаются никому.

Компании, которые являются доверенными эмитентами, проводят исследования кого-то, запрашивающего сертификат, который действительно является тем, кем он заявляет, и что он имеет законный бизнес.

Например, если вы подключаетесь к веб-сайту, который является мошенничеством, но получил сертификат от Verisign (упомянутый в качестве примера), я ожидаю, что вы можете предпринять множество юридических действий против (как сайта, так и эмитента).

SSL основан на доверии, который является очень тонким понятием, когда речь заходит о компьютерной безопасности.

Если доверенные эмитенты не справляются со своей работой достаточно хорошо, то безопасность теряется.

Лично я не знаю, есть ли какой-нибудь исторический пример по этому поводу (надеюсь, его нет)

user10326
источник
5
Сертификаты будут выданы только о тех, при условии , что они могут приобрести домен. То, за что они не (должны быть) выданы, это люди, которые не несут ответственности за домен.
Донал Феллоуз
@DonalFellows Если ваша локальная сеть не имеет прокси TLS.
Фил Лелло
Сертификат никогда не должен доверять компании, а должен только обеспечивать шифрование соединения. К сожалению, CA решили, что намного легче заработать кучу денег без какого-либо обслуживания, если они могут пойти с доверием. Не забывайте, что Шаттлворт зарабатывал свои миллионы не на РС, а использовал свою продажу МС, чтобы запустить Thawte и продать его, чтобы сделать его грязным богатым.
Лотар