誰かがSSL証明書の保証を請求したことがありますか?[閉まっている]


20

SSL証明書は、多くの場合、たとえば50万ドルや100万ドルなど、さまざまな量の保証または保証を公示します。

私の質問は、SSLの歴史の中で、これらの保証の1つを実際に成功させた人はいますか?事例はありますか?そうでない場合、それらが単なるマーケティングの仕掛けであると仮定するのは公平ですか?


このサイトのトピックではありませんが、security.stackexchange.comの方が良いかもしれません。
サイクロプス

@Cyclops私はウェブマスターの交換で試しましたが、彼らはそれを閉じました、私はこれをどこに投稿するのか分かりません
トム

この質問に答えるサイトが今のところネットワーク上にあるとは思いません。それは単なる雑学です。ここでは明らかにオフトピックです。ソフトウェア開発とは関係ありません。

懐疑論者にとっては妥当なものかもしれません。彼らは物をデバンクするのが好きで、この保証は多くの「バンク」のように聞こえるからです。
ローマンスターコフ14

回答:


15

保証は、証明書の購入者に発行されたものではなく、サイトのユーザーに発行されたものであるため、実際には一種の誤解を招くものです。したがって、保証を提供するCAによって検証されたWebサイトにクレジットカードの詳細を提供し、(詐欺的な)サイトがお金を受け取ったとしたら、保証を使用して失ったお金を取り戻すことができます。

しかし実際には、これはほとんど起こりません。CAが証明書を不正なエンティティに配布することは非常にまれです(まったく聞いたことはありませんが)。そして、それが起こったとき、それはほとんどそのCAの終わりです-すべての信頼が失われ、ビジネスを継続できません。DigiNotarは、そのスキャンダルの1か月以内に破産を宣言しました。

「フィッシング」サイトも対象にしないことに注意してください。したがって、クレジットカードの詳細を「paypal.com.scammer.org」に渡すと、そのドメインがCAによって検証されたとしても、それはあなた自身の責任です。CAが誤っている誰かに「paypal.com」の証明書を与えた場合にのみになりませんペイパル。


レジストラXから証明書を購入した場合、レジストラYは不正なサイトに証明書を提供しますが、ユーザーはレジストラXまたはレジストラYから証明書を要求しますか?
dave1010

1

いいえ、彼らはマーケティングの仕掛けであってはなりません!

証明書は誰にも発行されません。

信頼できる発行者である会社は、証明書を要求している人物が自分が本人であり、正当なビジネスを持っていることを調査します。

たとえば、不正であるが、Verisignから証明書を取得しているWebサイト(例として説明)に接続する場合、(サイトと発行者の両方に対して)多くの法的措置を講じることができると期待しています。

SSLは信頼に基づいています。信頼は、コンピューターのセキュリティに関しては非常に薄い概念です。

信頼できる発行者が十分な仕事をしていない場合、セキュリティは低下します。

個人的には、これに歴史的な例があるかどうかわかりません(ないことを願っています)


5
証明書、ドメインを購入できれば、だれでも発行できます。彼らが発行されていない(想定されている)のは、そのドメインに対して責任を負わない人たちです。
ドナルドフェロー

@DonalFellowsローカルネットワークにTLSプロキシが含まれていない限り。
フィルレロ

証明書は決して会社に信頼を与えるべきではなく、接続が暗号化されていることを確認するだけです。残念なことに、CAは、信頼できるものであれば、サービスなしで大量のお金を稼ぐ方がはるかに簡単だと判断しました。シャトルワースはMSからではなく何百万ドルも彼のハンダートを作ったことを忘れないでください。
ローター
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.