Có ai từng yêu cầu bảo hành chứng chỉ SSL chưa? [đóng cửa]


20

Chứng chỉ SSL thường quảng cáo số lượng bảo hành hoặc bảo lãnh khác nhau, ví dụ $ 500,000 hoặc $ 1 triệu.

Câu hỏi của tôi là, trong lịch sử của SSL, có ai từng thực sự tuyên bố thành công một trong những bảo hành này không? Đã bao giờ có một trường hợp? Nếu không, có công bằng không khi cho rằng họ chỉ là mánh lới quảng cáo tiếp thị?


Không chính xác về chủ đề cho trang web này, nó thể tốt hơn tại security.stackexchange.com .
Cyclops

@Cyclops Tôi đã thử trao đổi webmaster nhưng họ đã đóng nó, tôi không biết đăng bài này ở đâu
Tom

Tôi không nghĩ rằng có một trang web trên mạng ngay bây giờ sẽ đưa ra câu hỏi này: đó chỉ là chuyện vặt. Chắc chắn lạc đề ở đây: không liên quan gì đến phát triển phần mềm.

Nó có thể là một sự phù hợp hợp lý cho những người hoài nghi. Vì họ thích gỡ lỗi và bảo hành này nghe có vẻ như rất nhiều "bunk".
Roman Starkov

Câu trả lời:


15

Bảo hành là loại gây hiểu lầm, thực sự, bởi vì nó không được cấp cho người mua giấy chứng nhận - nó được cấp cho người dùng của trang web. Vì vậy, giả sử bạn cung cấp chi tiết thẻ tín dụng của mình cho một trang web được xác minh bởi CA cung cấp bảo hành và trang web (lừa đảo) lấy tiền của bạn, sau đó bạn có thể sử dụng bảo hành để lấy lại số tiền bạn đã mất.

Trong thực tế, mặc dù, điều này gần như không bao giờ xảy ra. Việc CA đưa ra một chứng chỉ cho một thực thể lừa đảo là cực kỳ hiếm ( mặc dù không hoàn toàn chưa từng nghe thấy ). Và khi điều đó xảy ra, nó đã kết thúc CA đó - tất cả niềm tin đã mất và nó không thể tiếp tục kinh doanh. DigiNotar tuyên bố phá sản trong vòng một tháng sau vụ bê bối đó.

Lưu ý rằng nó cũng không bao gồm các trang web "lừa đảo". Vì vậy, nếu bạn cung cấp chi tiết thẻ tín dụng của mình cho "paypal.com.scammer.org" thì mặc dù tên miền đó có thể được xác minh bởi CA, đó vẫn là lỗi của bạn. Sẽ chỉ là nếu một CA trao nhầm chứng nhận "paypal.com" cho một người không phải PayPal.


Vậy nếu tôi mua một chứng chỉ từ Nhà đăng ký X, thì Nhà đăng ký Y sẽ cung cấp chứng nhận cho một trang web lừa đảo, sau đó người dùng có yêu cầu từ Nhà đăng ký X hoặc Nhà đăng ký Y không?
dave1010

1

Không, họ không nên là mánh lới quảng cáo tiếp thị!

Giấy chứng nhận không được cấp cho bất kỳ ai.

Các công ty là nhà phát hành đáng tin cậy, nghiên cứu về ai đó yêu cầu chứng chỉ rằng anh ta thực sự là người anh ta tuyên bố và anh ta có một doanh nghiệp hợp pháp.

Ví dụ: nếu bạn kết nối với một trang web lừa đảo nhưng đã nhận được chứng chỉ từ Verisign (được đề cập như một ví dụ), tôi sẽ hy vọng rằng bạn có thể thực hiện nhiều hành động pháp lý chống lại (cả trang web và nhà phát hành).

SSL dựa trên niềm tin vốn là một khái niệm rất mỏng khi nói đến bảo mật máy tính.

Nếu các công ty phát hành đáng tin cậy không làm việc của họ đủ tốt, thì an ninh sẽ giảm.

Cá nhân tôi không biết nếu có bất kỳ ví dụ lịch sử nào về điều này (tôi hy vọng không có bất kỳ)


5
Chứng chỉ được cấp cho bất kỳ ai, miễn là họ có thể mua một tên miền. Những gì họ không (được cho là) ​​được ban hành là những người không chịu trách nhiệm về tên miền.
Donal Fellows

@DonalFellows Trừ khi mạng cục bộ của bạn bao gồm proxy TLS.
Phil Lello

Chứng chỉ không bao giờ nên tin tưởng vào công ty mà chỉ đảm bảo rằng kết nối được mã hóa. Thật không may, CA đã quyết định việc kiếm hàng tấn tiền dễ dàng hơn mà không cần bất kỳ dịch vụ nào nếu họ có thể đi với điều đáng tin cậy. Đừng quên rằng Shuttleworth đã kiếm được hàng triệu đô la của mình không phải từ MS mà sử dụng MS của mình để bắt đầu Thawte và bán nó để làm cho anh ta trở nên giàu có.
Lothar
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.