มีใครเคยอ้างสิทธิ์รับประกันในใบรับรอง SSL หรือไม่ [ปิด]


20

ใบรับรอง SSL มักจะโฆษณาจำนวนการรับประกันหรือการรับประกันที่แตกต่างกันเช่น $ 500,000 หรือ $ 1m

คำถามของฉันคือในประวัติศาสตร์ของ SSL มีใครเคยอ้างสิทธิ์รับประกันอย่างใดอย่างหนึ่งเหล่านี้สำเร็จหรือไม่? เคยมีคดีไหม? ถ้าไม่เป็นธรรมหรือไม่ที่จะถือว่าพวกเขาเป็นเพียงลูกเล่นทางการตลาด


ไม่ตรงกับหัวข้อสำหรับเว็บไซต์นี้มันอาจจะดีกว่าที่security.stackexchange.com
ไซคลอปส์

@Cyclops ฉันพยายามในเว็บมาสเตอร์แลกเปลี่ยน แต่พวกเขาปิดมันฉันไม่ทราบว่าจะโพสต์นี้
ทอม

ฉันไม่คิดว่าจะมีเว็บไซต์ในเครือข่ายที่จะตอบคำถามนี้: มันเป็นเรื่องไม่สำคัญ ปิดหัวข้อแน่นอนที่นี่: ไม่มีอะไรเกี่ยวข้องกับการพัฒนาซอฟต์แวร์

มันอาจจะเหมาะสมสำหรับ skeptics.SE เนื่องจากพวกเขาต้องการ debunk stuff และการรับประกันนี้ฟังดูเหมือน "bunk" มากมาย
Roman Starkov

คำตอบ:


15

การรับประกันเป็นความเข้าใจที่ผิดจริงเพราะมันไม่ได้ออกให้กับผู้ซื้อใบรับรอง - มันออกให้กับผู้ใช้ของเว็บไซต์ ดังนั้นสมมติว่าคุณให้รายละเอียดบัตรเครดิตของคุณไปยังเว็บไซต์ที่ผ่านการตรวจสอบโดย CA ซึ่งให้การรับประกันและไซต์ (หลอกลวง) ใช้เงินจากคุณจากนั้นคุณสามารถใช้การรับประกันเพื่อเรียกเงินคืนที่คุณสูญเสียไป

ในความเป็นจริงแล้วสิ่งนี้แทบจะไม่เคยเกิดขึ้นเลย มันหายากมาก ( แต่ไม่ใช่ทั้งหมดที่ไม่เคยได้ยิน ) สำหรับ CA ในการให้ใบรับรองแก่หน่วยงานที่มีการฉ้อโกง และเมื่อมันเกิดขึ้นมันก็จะจบลงที่ CA นั้น - ความเชื่อมั่นทั้งหมดจะหายไปและไม่สามารถดำเนินธุรกิจต่อไปได้ DigiNotar ประกาศล้มละลายภายในหนึ่งเดือนของเรื่องอื้อฉาว

โปรดทราบว่ามันยังไม่ครอบคลุมไซต์ "ฟิชชิง" ดังนั้นหากคุณให้รายละเอียดบัตรเครดิตของคุณกับ "paypal.com.scammer.org" ถึงแม้ว่าโดเมนนั้นอาจได้รับการยืนยันโดย CA นั่นก็ยังเป็นความผิดของคุณเอง มันจะเกิดขึ้นถ้าหาก CA ให้ใบรับรอง "paypal.com" แก่ผู้ที่ไม่ใช่ PayPal อย่างไม่ถูกต้อง


ดังนั้นถ้าฉันซื้อใบรับรองจาก Registrar X แล้ว Registrar Y ให้การรับรองแก่ไซต์ที่หลอกลวงผู้ใช้จะเรียกร้องจาก Registrar X หรือ Registrar Y หรือไม่
dave1010

1

ไม่พวกเขาไม่ควรเป็นลูกเล่นทางการตลาด!

ใบรับรองจะไม่ออกให้กับคนใดคนหนึ่ง

บริษัท ที่เป็นผู้ออกตราสารที่เชื่อถือได้ทำการวิจัยกับคนที่ขอใบรับรองว่าเขาเป็นคนที่เขาอ้างสิทธิ์และมีธุรกิจที่ชอบด้วยกฎหมาย

หากตัวอย่างเช่นคุณเชื่อมต่อกับเว็บไซต์ที่มีการฉ้อโกง แต่ได้รับใบรับรองจาก Verisign (ดังกล่าวเป็นตัวอย่าง) ฉันคาดว่าคุณจะสามารถดำเนินการทางกฎหมายกับ (ไซต์และผู้ออกใบรับรอง) ได้หลายอย่าง

SSL ขึ้นอยู่กับความไว้วางใจซึ่งเป็นแนวคิดที่บางมากเมื่อพูดถึงความปลอดภัยของคอมพิวเตอร์

หากผู้ออกที่เชื่อถือได้ทำงานไม่ดีพอความปลอดภัยก็จะลดลง

โดยส่วนตัวฉันไม่รู้ว่ามีตัวอย่างประวัติศาสตร์ในเรื่องนี้หรือไม่ (ฉันหวังว่าจะไม่มี)


5
มีการออกใบรับรองให้กับทุกคนโดยที่พวกเขาสามารถซื้อโดเมนได้ สิ่งที่พวกเขาไม่ได้ (ควรจะ) ออกให้สำหรับคนที่ไม่รับผิดชอบต่อโดเมน
Donal Fellows

@DonalFellows ยกเว้นเครือข่ายท้องถิ่นของคุณมีพร็อกซี TLS
Phil Lello

ใบรับรองไม่ควรให้ความเชื่อถือกับ บริษัท แต่ให้แน่ใจว่าการเชื่อมต่อนั้นได้รับการเข้ารหัส โดยไม่ได้แจ้งล่วงหน้า CA ได้ตัดสินใจว่าจะทำเงินได้มากมายโดยไม่ต้องใช้บริการใด ๆ หากพวกเขาสามารถไปกับสิ่งที่ไว้วางใจได้ อย่าลืมว่า Shuttleworth สร้างรายได้กว่าล้านไม่ใช่จาก MS แต่ใช้ MS salery ของเขาเพื่อเริ่มต้น Thawte และขายมันเพื่อทำให้เขาร่ำรวย
Lothar
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.