Adakah yang pernah mengklaim garansi pada sertifikat SSL? [Tutup]

20

Sertifikat SSL sering mengiklankan berbagai jumlah jaminan atau jaminan, misalnya $ 500.000 atau $ 1 juta.

Pertanyaan saya adalah, dalam sejarah SSL, adakah yang benar-benar berhasil mengklaim salah satu jaminan ini? Pernahkah ada kasus? Jika tidak, apakah adil untuk menganggap bahwa mereka hanyalah tipuan pemasaran?

Tom
sumber
Bukan topik yang tepat untuk situs ini, mungkin lebih baik di security.stackexchange.com .
Cyclops
@ Cyclops Saya mencoba dalam pertukaran webmaster tetapi mereka menutupnya, saya tidak tahu harus memposting di mana
Tom
Saya tidak berpikir ada situs di jaringan saat ini yang akan menjawab pertanyaan ini: itu hanya masalah sepele. Jelas di luar topik di sini: tidak ada hubungannya dengan pengembangan perangkat lunak.
Mungkin cocok untuk skeptis. SE, karena mereka suka menyangkal hal-hal dan garansi ini terdengar seperti banyak "tidur".
Roman Starkov

Jawaban:

15

Sebenarnya garansi agak menyesatkan karena tidak diberikan kepada pembeli sertifikat - garansi diberikan kepada pengguna situs. Jadi katakanlah Anda memberikan detail kartu kredit Anda ke situs web yang diverifikasi oleh CA yang menawarkan garansi dan situs (penipuan) mengambil uang dari Anda, maka Anda dapat menggunakan garansi untuk mengklaim kembali uang yang hilang.

Pada kenyataannya, ini hampir tidak pernah terjadi. Sangat jarang ( meskipun tidak sepenuhnya tidak pernah terjadi ) bagi CA untuk memberikan sertifikat kepada entitas penipuan. Dan ketika hal itu benar-benar terjadi, hampir semuanya berakhir pada CA - semua kepercayaan hilang dan tidak dapat terus menjalankan bisnis. DigiNotar menyatakan kebangkrutan dalam waktu satu bulan setelah skandal itu.

Perhatikan bahwa itu juga tidak mencakup situs "phishing". Jadi, jika Anda memberikan detail kartu kredit Anda ke "paypal.com.scammer.org" maka, meskipun domain itu mungkin diverifikasi oleh CA, itu masih kesalahan Anda sendiri. Ini hanya akan terjadi jika CA salah memberikan sertifikat untuk "paypal.com" kepada seseorang yang bukan PayPal.

Dean Harding
sumber
Jadi jika saya membeli sertifikat dari Registrar X, maka Registrar Y memberikan sertifikat ke situs penipuan, lalu apakah pengguna mengklaim dari Registrar X atau Registrar Y?
dave1010
1

Tidak, mereka tidak seharusnya menjadi alat pemasaran!

Sertifikat tidak diberikan kepada sembarang orang.

Perusahaan yang merupakan emiten tepercaya, melakukan penelitian pada seseorang yang meminta sertifikat bahwa dia memang yang dia klaim dan dia memiliki bisnis yang sah.

Jika misalnya Anda terhubung ke situs web yang merupakan penipuan tetapi telah memperoleh sertifikat dari Verisign (disebutkan sebagai contoh), saya berharap Anda dapat melakukan banyak tindakan hukum terhadap (baik situs maupun penerbit).

SSL didasarkan pada kepercayaan yang merupakan konsep yang sangat tipis ketika menyangkut keamanan komputer.

Jika penerbit tepercaya tidak melakukan tugasnya dengan cukup baik, maka keamanan akan sia-sia.

Secara pribadi saya tidak tahu apakah ada contoh bersejarah dalam hal ini (saya harap tidak ada)

pengguna10326
sumber
5
Sertifikat yang dikeluarkan untuk hanya tentang siapa pun, asalkan mereka bisa membeli domain. Yang tidak seharusnya dikeluarkan adalah orang yang tidak bertanggung jawab atas domain.
Donal Fellows
@DonalFellows Kecuali jaringan lokal Anda menyertakan proxy TLS.
Phil Lello
Sertifikat tidak boleh memberi kepercayaan kepada perusahaan tetapi hanya memastikan bahwa koneksi dienkripsi. Sayangnya CA telah memutuskan bahwa jauh lebih mudah untuk menghasilkan banyak uang tanpa layanan apa pun jika mereka dapat pergi dengan hal kepercayaan. Jangan lupa bahwa Shuttleworth membuat jutaan hundert-nya bukan dari MS tetapi menggunakan salery MS-nya untuk memulai Thawte dan menjualnya untuk membuatnya kaya raya.
Lothar