Hat jemand jemals eine Garantie für ein SSL-Zertifikat beansprucht? [geschlossen]

20

SSL-Zertifikate bieten häufig unterschiedliche Garantien oder Garantien, z. B. 500.000 US-Dollar oder 1 Million US-Dollar.

Meine Frage ist, in der Geschichte von SSL, hat jemals jemand eine dieser Garantien erfolgreich in Anspruch genommen? Gab es jemals einen Fall? Wenn nicht, ist es fair anzunehmen, dass es sich nur um Marketing-Gimmicks handelt?

Tom
quelle
Diese Website ist nicht genau themenbezogen . Unter security.stackexchange.com ist sie möglicherweise besser .
Cyclops
@ Cyclops Ich habe versucht, Webmaster auszutauschen, aber sie haben es geschlossen, ich weiß nicht, wo ich das posten soll
Tom
Ich glaube nicht, dass es im Moment eine Website im Netzwerk gibt, die diese Frage beantworten würde: Es ist nur eine Kleinigkeit. Off-Topic hier: nichts mit Softwareentwicklung zu tun.
Es könnte für Skeptiker eine vernünftige Passform sein. SE, da sie gerne Sachen entlarven und diese Garantie wie eine ganze Menge "Koje" klingt.
Roman Starkov

Antworten:

15

Die Garantie ist tatsächlich irreführend, da sie nicht an den Käufer des Zertifikats, sondern an die Benutzer der Website ausgestellt wird. Angenommen, Sie geben Ihre Kreditkartendaten an eine Website weiter, die von einer Zertifizierungsstelle überprüft wurde, die eine Garantie anbietet, und die (betrügerische) Website nimmt Ihnen Geld ab. Anschließend können Sie die Garantie nutzen, um das verlorene Geld zurückzufordern.

In Wirklichkeit passiert dies jedoch so gut wie nie. Es ist äußerst selten ( wenn auch nicht völlig unbekannt ), dass eine Zertifizierungsstelle einem betrügerischen Unternehmen ein Zertifikat aushändigt. Und wenn es passiert, ist es so ziemlich das Ende dieser Zertifizierungsstelle - alles Vertrauen ist verloren und sie kann nicht weiter Geschäfte tätigen. Innerhalb eines Monats nach diesem Skandal erklärte DigiNotar Insolvenz.

Beachten Sie, dass es auch keine "Phishing" -Seiten abdeckt. Wenn Sie also "paypal.com.scammer.org" Ihre Kreditkartendaten mitteilen, ist dies immer noch Ihre eigene Schuld, auch wenn diese Domain möglicherweise von einer Zertifizierungsstelle überprüft wurde. Dies wäre nur der Fall, wenn eine Zertifizierungsstelle jemandem, der nicht PayPal ist, fälschlicherweise ein Zertifikat für "paypal.com" übergibt .

Dean Harding
quelle
Wenn ich also ein Zertifikat von Registrar X kaufe, dann gibt Registrar Y ein Zertifikat an eine betrügerische Site. Fordern Benutzer dann von Registrar X oder Registrar Y ein Zertifikat an?
Dave1010
1

Nein, sie sollten keine Marketing-Gimmicks sein!

Zertifikate werden nicht an irgendjemanden ausgestellt.

Unternehmen, die vertrauenswürdige Emittenten sind, recherchieren nach Personen, die ein Zertifikat anfordern, das besagt, dass sie tatsächlich derjenige sind, für den sie sich ausgeben, und dass sie ein legitimes Unternehmen haben.

Wenn Sie zum Beispiel eine Verbindung zu einer Website herstellen, die betrügerisch ist, aber ein Zertifikat von Verisign erhalten hat (als Beispiel genannt), würde ich davon ausgehen, dass Sie viele rechtliche Schritte gegen die Website und den Herausgeber einleiten können.

SSL basiert auf Vertrauen, was in Bezug auf die Computersicherheit ein sehr dünnes Konzept ist.

Wenn die vertrauenswürdigen Emittenten ihre Arbeit nicht gut genug erledigen, geht die Sicherheit verloren.

Persönlich weiß ich nicht, ob es ein historisches Beispiel dafür gibt (ich hoffe, es gibt kein)

user10326
quelle
5
Zertifikate werden an nahezu jeden ausgestellt, sofern er eine Domain erwerben kann. Wofür sie nicht ausgestellt werden (sollen), sind Leute, die nicht für die Domain verantwortlich sind.
Donal Fellows
@DonalFellows Sofern Ihr lokales Netzwerk keinen TLS-Proxy enthält.
Phil Lello
Ein Zertifikat sollte dem Unternehmen niemals vertrauen, sondern nur sicherstellen, dass die Verbindung verschlüsselt ist. Leider hat die CA entschieden, dass es viel einfacher ist, eine Menge Geld ohne Service zu verdienen, wenn sie mit der Vertrauenssache mithalten können. Vergessen Sie nicht, dass Shuttleworth seine hundert Millionen nicht aus MS gemacht hat, sondern sein MS-Gehalt dazu verwendet hat, Thawte zu starten und es zu verkaufen, um ihn schmutzig und reich zu machen.
Lothar