Хтось коли-небудь вимагав гарантії на сертифікат SSL? [зачинено]

Зачинено. Це питання поза темою . Наразі відповіді не приймаються.

Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для обміну стеками програмного забезпечення.

Закрито 8 років тому .

Сертифікати SSL часто рекламують різну кількість гарантій або гарантій, наприклад, 500 000 доларів США або 1 мільйон доларів.

Моє запитання: чи в історії SSL хтось колись успішно претендував на одну з таких гарантій? Чи бував колись випадок? Якщо ні, чи справедливо вважати, що вони просто маркетингові трюки?

— Том
джерело

Не зовсім тематично для цього сайту, це може бути краще на security.stackexchange.com .

— Циклоп

@Cyclops Я спробував в обміні веб-майстрів, але вони закрили його, я не знаю, де це опублікувати

— Том

Я не думаю, що зараз в мережі є сайт, який би полегшив це питання: це просто дрібниці. Тут безумовно поза темою: нічого спільного з розробкою програмного забезпечення немає.

Це може бути розумним пристосуванням для скептиків.SE, оскільки вони люблять знімати речі, і ця гарантія звучить як ціла партія «двох’ярусних».

— Роман Старков

Відповіді:

Гарантія є таким чином вводить в оману фактично, тому що вона не видається покупцю сертифіката - вона видається користувачам сайту. Тож скажіть, що ви надаєте дані своєї кредитної картки на веб-сайт, який перевіряється ЦА, який пропонує гарантію, і (шахрайський) сайт забирає гроші у вас, тоді ви можете скористатися гарантією, щоб повернути втрачені гроші.

Насправді ж цього майже ніколи не відбувається. Вкрай рідко ( хоча і не зовсім нечувано ) КА видає сертифікат шахрайському підприємству. І коли це трапляється, це вже майже тоді кінець цього КА - втрачається вся довіра, і він не може продовжувати вести бізнес. DigiNotar оголосив про банкрутство протягом місяця після цього скандалу.

Зауважте, що він також не охоплює "фішинг" сайтів. Тож якщо ви надаєте реквізити своєї кредитної картки на "paypal.com.scammer.org", то навіть якщо цей домен може бути підтверджений ЦА, це все одно ваша вина. Це було б лише в тому випадку, якщо КС помилково видав сертифікат для "paypal.com" тому, хто не є PayPal.

— Дін Хардінг
джерело

Отже, якщо я купую сертифікат у реєстратора X, то реєстратор Y надає сертифікат шахрайському сайту, тоді користувачі претендують на реєстратора X чи реєстратора Y?

— dave1010

Ні, вони не повинні бути маркетинговими трюками!

Сертифікати не видаються жодному.

Компанії, які мають довірених емітентів, проводять дослідження того, хто вимагає довідки про те, що він справді є тим, на кого він заявляє, і що у нього є законний бізнес.

Якщо ви, наприклад, підключитесь до веб-сайту, який є шахрайством, але отримав сертифікат від Verisign (згаданий як приклад), я би сподівався, що ви можете вчинити багато юридичних дій проти (як сайту, так і емітента).

SSL заснований на довірі, що є дуже тонкою концепцією, що стосується комп'ютерної безпеки.

Якщо надійні емітенти не виконують свою роботу досить добре, тоді безпека знижується.

Особисто я не знаю, чи є в цьому історичний приклад (я сподіваюся, що такого немає)

— user10326
джерело

Сертифікати будуть видані тільки про тих, при умови , що вони можуть придбати домен. Те, що вони (як передбачається, не видаються) - це люди, які не відповідають за домен.

— Стипендіати Дональ

@DonalFellows Якщо ваша локальна мережа не включає проксі-сервер TLS.

— Філ Лелло

Сертифікат ніколи не повинен надавати довіри компанії, а лише переконуватись, що з'єднання зашифровано. На жаль, CA вирішили, що набагато простіше заробляти тонни грошей без будь-якої послуги, якщо вони можуть працювати з довірою. Не забувайте, що Шаттлворт заробляв мільйони своїх хундертів не від MS, а використовував свою розсилку MS, щоб запустити Thawte і продати його, щоб зробити його брудно багатим.

— Лотар