Hiç kimse bir SSL sertifikası için garanti talep etti mi? [kapalı]

20

Kapalı. Bu soru konu dışı . Şu anda cevapları kabul etmiyor.

Bu soruyu geliştirmek ister misiniz? Soruyu Yazılım Mühendisliği Yığın Değişimi için konuyla ilgili olacak şekilde güncelleyin .

8 yıl önce kapalı .

SSL sertifikaları genellikle çeşitli miktarlarda garanti, örneğin 500.000 ABD Doları veya 1 milyon ABD doları tutarında reklam verir.

Sorum şu ki, SSL tarihinde, bu garantilerden birini gerçekten başarılı bir şekilde talep eden var mı? Hiç dava oldu mu? Değilse, sadece hile yapmakta olduklarını varsaymak adil mi?

— Tom
kaynak

Bu site için tam olarak konu değil , security.stackexchange.com adresinde daha iyi olabilir .

— Kiklops

@Cyclops Web yöneticileri borsasında denedim ama kapattılar, bunu nereye göndereceğimi bilmiyorum

— Tom

Şu anda ağda bu soruyu alan bir site olduğunu sanmıyorum: bu sadece bir trivia. Burada kesinlikle konu dışı: yazılım geliştirme ile ilgisi yok.

Şüpheciler için makul bir uyum olabilir.SE, çünkü şeyleri reddetmek istiyor ve bu garanti bir sürü "ranza" gibi geliyor.

— Roman Starkov

15

Garanti aslında bir tür yanıltıcıdır, çünkü sertifikanın alıcısına verilmez - site kullanıcılarına verilir. Öyleyse, kredi kartı bilgilerinizi garanti veren bir CA tarafından doğrulanmış bir web sitesine verdiğinizi ve (hileli) site sizden para aldığını, ardından kaybettiğiniz parayı geri almak için garantiyi kullanabilirsiniz.

Gerçekte, bu neredeyse hiç olmuyor. Bir CA'nın hileli bir varlığa sertifika vermesi son derece nadirdir ( ancak hiç duyulmamış olsa da ). Ve bu gerçekleştiğinde, bu CA'nın hemen hemen sonu - tüm güven kaybolur ve iş yapmaya devam edemez. DigiNotar bu skandaldan sonraki bir ay içinde iflas ettiğini açıkladı.

Ayrıca "kimlik avı" sitelerini de kapsamadığını unutmayın. Dolayısıyla, kredi kartı bilgilerinizi "paypal.com.scammer.org" adresine verirseniz, bu alan adı bir CA tarafından doğrulanmış olsa bile, bu yine de sizin hatanızdır. Sadece bir CA yanlışlıkla PayPal olmayan birine "paypal.com" için bir sertifika vermişse olur .

— Dean Harding
kaynak

Dolayısıyla, Registrar X'ten bir sertifika alırsam, Registrar Y, hileli bir siteye sertifika verirse, kullanıcılar Registrar X veya Registrar Y'den talepte bulunur mu?

— dave1010

1

Hayır, hile yapmamalılar!

Sertifikalar sadece herhangi birine verilmez.

Güvenilir ihraççılar olan şirketler, gerçekten talep ettiği kişi olduğunu ve meşru bir işi olduğunu gösteren bir sertifika isteyen biri üzerinde araştırma yapar.

Örneğin, sahtekar olan ancak Verisign'dan (örnek olarak bahsedilir) bir sertifika almış bir web sitesine bağlanırsanız, (hem site hem de ihraççı) aleyhinde birçok yasal işlem yapabilmenizi beklerim.

SSL, bilgisayar güvenliği söz konusu olduğunda çok ince bir kavram olan güven üzerine kuruludur.

Güvenilir ihraççılar işlerini yeterince iyi yapmıyorsa, güvenlik azalır.

Şahsen bu konuda tarihi bir örnek olup olmadığını bilmiyorum (umarım yoktur)

— user10326
kaynak

5

Sertifikalar edilir , hemen herkese verilen bir alan adı satın alabilirsiniz sağladı. Verilmedikleri (verilmeleri) alan adından sorumlu olmayan kişilerdir.

— Donal Fellows

@DonalFellows Yerel ağınızda bir TLS proxy yoksa.

— Phil Lello

Sertifika şirkete asla güvenmemeli, yalnızca bağlantının şifreli olduğundan emin olmalıdır. Neyse ki CA, güven şeyleriyle gidebilirlerse, herhangi bir hizmet olmadan tonlarca para kazanmanın çok daha kolay olduğuna karar verdi. Shuttleworth'un hundert milyonlarını MS'den değil, Thawte'yi başlatmak ve onu pis zengin hale getirmek için satmak için MS tuzağını kullandığını unutmayın.

— Lothar