¿Alguien ha reclamado alguna vez una garantía en un certificado SSL? [cerrado]

20

Los certificados SSL a menudo anuncian cantidades variables de garantías, por ejemplo, $ 500,000 o $ 1 millón.

Mi pregunta es, en la historia de SSL, ¿alguien alguna vez ha reclamado con éxito una de estas garantías? ¿Ha habido alguna vez un caso? Si no es así, ¿es justo suponer que solo son trucos de marketing?

web-development  web-services  websites  certificate  ssl 
Tom
fuente
No exactamente sobre el tema de este sitio, podría ser mejor en security.stackexchange.com .
Cyclops
@Cyclops Intenté en el intercambio de webmasters pero lo cerraron, no sé dónde publicar esto
Tom
No creo que haya un sitio en la red en este momento que responda a esta pregunta: son solo preguntas y respuestas. Definitivamente fuera de tema aquí: nada que ver con el desarrollo de software.
Puede ser un ajuste razonable para los escépticos. SE, ya que les gusta desacreditar cosas y esta garantía suena como un montón de "literas".
Roman Starkov

Respuestas:

15

La garantía es un poco engañosa, en realidad, porque no se emite al comprador del certificado, se emite a los usuarios del sitio. Supongamos que da los detalles de su tarjeta de crédito a un sitio web verificado por una CA que ofrece una garantía y el sitio (fraudulento) le quita dinero, luego puede usar la garantía para reclamar el dinero que perdió.

En realidad, sin embargo, esto casi nunca sucede. Es extremadamente raro ( aunque no completamente desconocido ) que una CA entregue un certificado a una entidad fraudulenta. Y cuando sucede, es casi el final de esa CA: se pierde toda la confianza y no puede continuar haciendo negocios. DigiNotar se declaró en bancarrota dentro de un mes de ese escándalo.

Tenga en cuenta que tampoco cubre sitios de "phishing". Entonces, si le da los detalles de su tarjeta de crédito a "paypal.com.scammer.org", entonces, aunque ese dominio pueda ser verificado por una CA, todavía es su culpa. Solo sería si una entidad emisora ​​de certificados dio erróneamente un certificado de "paypal.com" a alguien que no es PayPal.

Dean Harding
fuente
Entonces, si compro un certificado del Registrador X, entonces el Registrador Y otorga un certificado a un sitio fraudulento, ¿entonces los usuarios reclaman al Registrador X o al Registrador Y?
dave1010
1

¡No, no deberían ser trucos de marketing!

Los certificados no se emiten a cualquiera.

Las empresas que son emisores de confianza investigan a alguien que solicita un certificado de que él es realmente quien dice y que tiene un negocio legítimo.

Si, por ejemplo, se conecta a un sitio web que es fraude pero ha obtenido un certificado de Verisign (mencionado como ejemplo), esperaría que pueda realizar muchas acciones legales contra el (sitio y emisor).

SSL se basa en la confianza, que es un concepto muy delgado cuando se trata de seguridad informática.

Si los emisores de confianza no están haciendo su trabajo lo suficientemente bien, entonces la seguridad se va por el desagüe.

Personalmente, no sé si hay algún ejemplo histórico sobre esto (espero que no haya ninguno)

usuario10326
fuente
55
Los certificados se emiten a casi cualquier persona, siempre que puedan comprar un dominio. Lo que no se supone (se supone que deben emitir) es a las personas que no son responsables del dominio.
Donal Fellows
@DonalFellows A menos que su red local incluya un proxy TLS.
Phil Lello
Un certificado nunca debe dar confianza a la empresa, sino solo asegurarse de que la conexión esté encriptada. Afortunadamente, la CA ha decidido que es mucho más fácil ganar toneladas de dinero sin ningún servicio si pueden ir con la confianza. No olvides que Shuttleworth hizo que sus hundert millones no fueran de MS, sino que usó su venta de MS para iniciar Thawte y venderlo para hacerlo muy rico.
Lothar
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.