Qualcuno ha mai richiesto una garanzia su un certificato SSL? [chiuso]


20

I certificati SSL spesso pubblicizzano quantità variabili di garanzie o garanzie, ad esempio $ 500.000 o $ 1 milione.

La mia domanda è, nella storia di SSL, qualcuno ha mai effettivamente rivendicato con successo una di queste garanzie? C'è mai stato un caso? In caso contrario, è giusto presumere che siano solo espedienti di marketing?


Non esattamente sull'argomento per questo sito, potrebbe essere migliore su security.stackexchange.com .
Ciclope,

@Cyclops Ho provato nello scambio di webmaster ma lo hanno chiuso, non so dove pubblicarlo
Tom,

Non penso che ci sia un sito sulla rete in questo momento che risponderebbe a questa domanda: sono solo curiosità. Decisamente fuori tema qui: niente a che fare con lo sviluppo del software.

Potrebbe essere una scelta ragionevole per gli scettici.SE, dal momento che a loro piace sfatare cose e questa garanzia sembra un sacco di "cuccette".
Roman Starkov,

Risposte:


15

La garanzia è un po 'fuorviante, in realtà, perché non viene rilasciata all'acquirente del certificato, ma viene rilasciata agli utenti del sito. Quindi supponi di fornire i dettagli della tua carta di credito a un sito Web verificato da un'autorità di certificazione che offre una garanzia e che il sito (fraudolento) ti prende denaro, quindi puoi utilizzare la garanzia per recuperare i soldi persi.

In realtà, tuttavia, questo non accade quasi mai. È estremamente raro ( anche se non del tutto inaudito ) per una CA rilasciare un certificato a un'entità fraudolenta. E quando succede, è praticamente la fine di quella CA - tutta la fiducia viene persa e non può continuare a condurre affari. DigiNotar ha dichiarato fallimento entro un mese da quello scandalo.

Si noti che non copre anche i siti di "phishing". Quindi, se dai i dettagli della tua carta di credito a "paypal.com.scammer.org", allora, anche se quel dominio potrebbe essere verificato da una CA, è comunque colpa tua. Lo sarebbe solo se un'autorità di certificazione fornisse erroneamente un certificato per "paypal.com" a qualcuno che non è PayPal.


Quindi, se compro un certificato dal Registrar X, il Registrar Y fornisce un certificato a un sito fraudolento, quindi gli utenti reclamano dal Registrar X o dal Registrar Y?
dave1010,

1

No, non dovrebbero essere espedienti di marketing!

I certificati non vengono rilasciati a nessuno.

Le aziende che sono emittenti di fiducia fanno ricerche su qualcuno che richiede un certificato che in realtà è chi rivendica e che ha un'attività legittima.

Se ad esempio ti colleghi a un sito Web che è una frode ma ha ottenuto un certificato da Verisign (menzionato come esempio), mi aspetterei che tu possa fare molte azioni legali contro (sia il sito che l'emittente).

SSL si basa sulla fiducia, che è un concetto molto sottile quando si tratta di sicurezza dei computer.

Se gli emittenti fidati non stanno svolgendo il proprio lavoro abbastanza bene, la sicurezza diminuisce.

Personalmente non so se ci sia un esempio storico su questo (spero che non ce ne sia)


5
I certificati vengono rilasciati praticamente a chiunque, a condizione che possano acquistare un dominio. Ciò per cui non sono (presumibilmente rilasciati) sono le persone che non sono responsabili del dominio.
Donal Fellows,

@DonalFellows A meno che la rete locale non includa un proxy TLS.
Phil Lello,

Un certificato non dovrebbe mai dare fiducia all'azienda, ma solo assicurarsi che la connessione sia crittografata. Unfrotunately la CA ha deciso che è molto più facile fare tonnellate di denaro senza alcun servizio se possono andare con la cosa della fiducia. Non dimenticare che Shuttleworth ha guadagnato i suoi milioni di milioni non da MS ma ha usato la sua saleria MS per avviare Thawte e venderlo per renderlo sporco.
Lothar,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.