Czy ktoś kiedykolwiek ubiegał się o gwarancję na certyfikat SSL? [Zamknięte]

20

Certyfikaty SSL często reklamują różne kwoty gwarancji lub gwarancji, na przykład 500 000 USD lub 1 mln USD.

Moje pytanie brzmi: czy w historii SSL ktoś kiedykolwiek skutecznie domagał się jednej z tych gwarancji? Czy kiedykolwiek był przypadek? Jeśli nie, to czy można uczciwie założyć, że to tylko chwyt marketingowy?

Tomek
źródło
Nie do końca na temat tej witryny, może być lepiej na security.stackexchange.com .
Cyklop
@Cyclops Próbowałem na wymianie dla webmasterów, ale zamknęli to, nie wiem, gdzie to opublikować
Tom
Nie sądzę, aby w tej chwili w sieci była strona, która odpowiadałaby na to pytanie: to tylko ciekawostki. Zdecydowanie nie na temat: tutaj nie ma nic wspólnego z programowaniem.
Może to być rozsądne rozwiązanie dla sceptyków.SE, ponieważ lubią one obalać rzeczy, a ta gwarancja brzmi jak cała „koja”.
Roman Starkov

Odpowiedzi:

15

Gwarancja jest w rzeczywistości trochę myląca, ponieważ nie jest wydawana nabywcy certyfikatu - jest wydawana użytkownikom witryny. Powiedzmy, że przekazujesz dane karty kredytowej stronie internetowej zweryfikowanej przez urząd certyfikacji, która oferuje gwarancję, a strona (oszukańcza) odbiera od ciebie pieniądze, a następnie możesz skorzystać z gwarancji, aby odzyskać utracone pieniądze.

W rzeczywistości jednak prawie nigdy tak się nie dzieje. CA jest niezwykle rzadkie ( choć nie do końca niespotykane ), aby udzielić certyfikatu podmiotowi oszukańczemu. A kiedy to się stanie, to prawie koniec tego urzędu certyfikacji - całe zaufanie zostaje utracone i nie można kontynuować działalności. DigiNotar ogłosił bankructwo w ciągu miesiąca od skandalu.

Pamiętaj, że nie obejmuje to również witryn „phishingowych”. Jeśli więc podasz dane swojej karty kredytowej na „paypal.com.scammer.org”, to nawet jeśli ta domena może zostać zweryfikowana przez urząd certyfikacji, to nadal twoja wina. Byłoby tak, gdyby urząd certyfikacji błędnie wydał certyfikat „paypal.com” komuś, kto nie jest PayPal.

Dean Harding
źródło
Więc jeśli kupię certyfikat od rejestratora X, wówczas rejestrator Y przyznaje certyfikat fałszywej stronie, to czy użytkownicy żądają od rejestratora X lub rejestratora Y?
dave1010
1

Nie, nie powinny być chwytami marketingowymi!

Certyfikaty nie są wydawane tylko jednemu.

Firmy, które są zaufanymi emitentami, badają kogoś, kto domaga się certyfikatu, że rzeczywiście jest tym, za kogo się podaje, i że prowadzi legalną działalność.

Jeśli na przykład łączysz się ze stroną internetową, która jest oszustwem, ale uzyskała certyfikat od Verisign (wymieniony jako przykład), spodziewam się, że możesz podjąć wiele kroków prawnych przeciwko (zarówno stronie, jak i wystawcy).

SSL opiera się na zaufaniu, które jest bardzo cienką koncepcją, jeśli chodzi o bezpieczeństwo komputera.

Jeśli zaufani emitenci nie wykonują wystarczająco dobrze swojej pracy, bezpieczeństwo spada.

Osobiście nie wiem, czy jest na to jakiś historyczny przykład (mam nadzieję, że nie ma)

użytkownik10326
źródło
5
Certyfikaty wydawane niemal każdemu, pod warunkiem, że mogą oni kupić domenę. To, za co nie są (powinny być wydawane), to osoby, które nie są odpowiedzialne za domenę.
Donal Fellows
@DonalFellows Chyba że Twoja sieć lokalna zawiera serwer proxy TLS.
Phil Lello,
Certyfikat nigdy nie powinien ufać firmie, a jedynie upewnić się, że połączenie jest szyfrowane. Na nieszczęście urząd certyfikacji zdecydował, że o wiele łatwiej jest zarabiać mnóstwo pieniędzy bez żadnej usługi, jeśli mogą pójść z zaufaniem. Nie zapominaj, że Shuttleworth zarobił swoje setki milionów nie na stwardnieniu rozsianym, ale użył swojego stwardnienia rozsianego, by założyć Thawte i sprzedać go, aby uczynić go obrzydliwie bogatym.
Lothar