Alguém já reivindicou uma garantia em um certificado SSL? [fechadas]

20

Fechadas. Esta questão está fora de tópico . No momento, não está aceitando respostas.

Deseja melhorar esta pergunta? Atualize a pergunta para que ela esteja no tópico do Software Engineering Stack Exchange.

Fechado há 8 anos .

Os certificados SSL geralmente anunciam quantidades variáveis de garantias, por exemplo, US $ 500.000 ou US $ 1 milhão.

Minha pergunta é, na história do SSL, alguém já reivindicou com êxito uma dessas garantias? Já houve um caso? Se não, é justo supor que eles são apenas truques de marketing?

— Tom
fonte

Não exatamente sobre o tópico deste site, ele pode ser melhor em security.stackexchange.com .

— Ciclope

@Cyclops Tentei em webmasters troca, mas eles fecharam-lo, eu não sei onde postar essa

— Tom

Não acho que exista atualmente um site na rede que possa responder a essa pergunta: são apenas triviais. Definitivamente fora de tópico aqui: nada a ver com desenvolvimento de software.

Pode ser um ajuste razoável para os céticos. SE, já que eles gostam de desmascarar coisas e esta garantia soa como um monte de "beliche".

— Roman Starkov

15

A garantia é meio enganosa, na verdade, porque não é emitida para o comprador do certificado - é emitida para os usuários do site. Digamos que você forneça os detalhes do seu cartão de crédito a um site verificado por uma CA que ofereça uma garantia e o site (fraudulento) retire dinheiro de você, então você poderá usar a garantia para recuperar o dinheiro perdido.

Na realidade, porém, isso quase nunca acontece. É extremamente raro ( embora não totalmente desconhecido ) uma CA fornecer um certificado a uma entidade fraudulenta. E quando isso acontece, é praticamente o fim dessa autoridade de certificação - toda a confiança é perdida e ela não pode continuar realizando negócios. A DigiNotar declarou falência dentro de um mês após o escândalo.

Observe que ele também não cobre sites de "phishing". Portanto, se você fornecer os detalhes do seu cartão de crédito para "paypal.com.scammer.org", mesmo que esse domínio possa ser verificado por uma CA, a culpa é sua. Seria apenas se uma CA erroneamente fornecesse um certificado para "paypal.com" a alguém que não fosse o PayPal.

— Dean Harding
fonte

Portanto, se eu comprar um certificado do Registrador X, o Registrador Y fornecerá um certificado para um site fraudulento, então os usuários reivindicarão do Registrador X ou do Registrador Y?

— precisa saber é o seguinte

1

Não, eles não devem ser truques de marketing!

Os certificados não são emitidos para qualquer um.

As empresas que são emitentes confiáveis pesquisam alguém solicitando um certificado de que ele realmente é quem ele afirma e que possui um negócio legítimo.

Se, por exemplo, você se conectar a um site que é fraudulento, mas obteve um certificado da Verisign (mencionado como exemplo), seria de esperar que você possa executar muitas ações legais contra o site e o emissor.

O SSL é baseado na confiança, que é um conceito muito limitado quando se trata de segurança do computador.

Se os emissores confiáveis não estiverem fazendo seu trabalho suficientemente bem, a segurança será prejudicada.

Pessoalmente, não sei se existe algum exemplo histórico sobre isso (espero que não exista)

— user10326
fonte

5

Os certificados são emitidos para praticamente qualquer pessoa, desde que eles possam comprar um domínio. Para o que eles não são (deveriam ser) emitidos, são pessoas que não são responsáveis pelo domínio.

— Donal Fellows

@DonalFellows A menos que sua rede local inclua um proxy TLS.

— Phil Lello

Um certificado nunca deve confiar na empresa, mas apenas certificar-se de que a conexão esteja criptografada. Infelizmente, a CA decidiu que é muito mais fácil ganhar muito dinheiro sem nenhum serviço, se puderem usar a confiança. Não se esqueça de que Shuttleworth ganhou seus milhões de dólares, não da MS, mas usou o seu salário para iniciar a Thawte e vendê-la para torná-lo podre de rico.

— Lothar