Quelqu'un a-t-il déjà réclamé une garantie sur un certificat SSL? [fermé]


20

Les certificats SSL annoncent souvent des montants ou des garanties variables, par exemple 500 000 $ ou 1 million de dollars.

Ma question est, dans l'histoire de SSL, quelqu'un a-t-il déjà réussi à réclamer l'une de ces garanties? Y a-t-il déjà eu un cas? Sinon, est-il juste de supposer qu'il ne s'agit que de gadgets marketing?


Pas exactement sur le sujet de ce site, il vaut peut- être mieux sur security.stackexchange.com .
Cyclops

@Cyclops J'ai essayé dans l'échange de webmasters mais ils l'ont fermé, je ne sais pas où le poster
Tom

Je ne pense pas qu'il y ait un site sur le réseau en ce moment qui répondrait à cette question: c'est juste des anecdotes. Certainement hors sujet ici: rien à voir avec le développement de logiciels.

Cela pourrait être un ajustement raisonnable pour les sceptiques.SE, car ils aiment démystifier des choses et cette garantie ressemble à beaucoup de "couchettes".
Roman Starkov

Réponses:


15

La garantie est en quelque sorte trompeuse, car elle n'est pas délivrée à l'acheteur du certificat - elle est délivrée aux utilisateurs du site. Supposons donc que vous donniez les détails de votre carte de crédit à un site Web vérifié par une autorité de certification qui offre une garantie et que le site (frauduleux) vous prenne de l'argent, alors vous pouvez utiliser la garantie pour récupérer l'argent que vous avez perdu.

En réalité, cependant, cela n'arrive presque jamais. Il est extrêmement rare ( mais pas totalement inconnu ) qu'une autorité de certification remette un certificat à une entité frauduleuse. Et lorsque cela se produit, c'est à peu près la fin de cette autorité de certification - toute confiance est perdue et elle ne peut pas continuer à faire des affaires. DigiNotar a déclaré faillite dans le mois suivant ce scandale.

Notez qu'il ne couvre pas non plus les sites de "phishing". Donc, si vous donnez les détails de votre carte de crédit à "paypal.com.scammer.org", même si ce domaine peut être vérifié par une autorité de certification, c'est toujours votre faute. Ce ne serait que si une AC a donné par erreur un certificat pour "paypal.com" à quelqu'un qui n'est pas PayPal.


Donc, si j'achète un certificat auprès du bureau d'enregistrement X, le bureau d'enregistrement Y donne un certificat à un site frauduleux, alors les utilisateurs le demandent-ils au bureau d'enregistrement X ou au bureau d'enregistrement Y?
dave1010

1

Non, ils ne devraient pas commercialiser de gadgets!

Les certificats ne sont délivrés à personne.

Les entreprises qui sont des émetteurs de confiance font des recherches sur quelqu'un qui demande un certificat qu'il est bien celui qu'il prétend et qu'il a une entreprise légitime.

Si, par exemple, vous vous connectez à un site Web frauduleux mais qui a obtenu un certificat de Verisign (mentionné à titre d'exemple), je m'attends à ce que vous puissiez engager de nombreuses actions en justice contre (le site et l'émetteur).

SSL est basé sur la confiance qui est un concept très mince en matière de sécurité informatique.

Si les émetteurs de confiance ne font pas assez bien leur travail, la sécurité tombe à l'eau.

Personnellement, je ne sais pas s'il y a un exemple historique à ce sujet (j'espère qu'il n'y en a pas)


5
Les certificats sont délivrés à n'importe qui, à condition qu'ils puissent acheter un domaine. Ce pour quoi ils ne sont pas (censés être) délivrés, ce sont des personnes qui ne sont pas responsables du domaine.
Donal Fellows

@DonalFellows Sauf si votre réseau local comprend un proxy TLS.
Phil Lello

Un certificat ne doit jamais donner confiance à l'entreprise, mais uniquement s'assurer que la connexion est cryptée. Malheureusement, l'AC a décidé qu'il est tellement plus facile de gagner des tonnes d'argent sans aucun service si elle peut aller avec la confiance. N'oubliez pas que Shuttleworth a fait ses millions de hundert pas de MS, mais a utilisé sa salerie MS pour démarrer Thawte et le vendre pour le rendre sale.
Lothar
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.