SSL 인증서에 대해 보증을 청구 한 사람이 있습니까? [닫은]


20

SSL 인증서는 종종 다양한 보증 또는 보증 (예 : $ 500,000 또는 $ 1m)을 광고합니다.

내 질문은 SSL의 역사에서 실제로 이러한 보증 중 하나를 성공적으로 주장한 사람이 있습니까? 사건이 있었습니까? 그렇지 않다면, 단지 마케팅 특수 효과라고 가정하는 것이 공정합니까?


아니 정확히에 주제에서이 사이트에 대한, 그것은 수도 에서 더 나은 security.stackexchange.com .
Cyclops

@Cyclops 나는 웹 마스터 교환에서 시도했지만 그들은 그것을 폐쇄, 나는 이것을 어디에 게시할지 모르겠다
Tom

나는 지금 네트워크에이 질문을하는 사이트가 있다고 생각하지 않습니다. 그것은 사소한 것입니다. 여기서 분명히 논외 주제 : 소프트웨어 개발과는 아무런 관련이 없습니다.

의심의 여지가있는 사람들에게는 합리적 일 수 있습니다.
로마 스타 코프

답변:


15

실제로 보증은 인증서 구매자에게 발행되지 않기 때문에 오해의 소지가 있습니다. 사이트의 사용자에게 발행됩니다. 보증을 제공하는 CA에서 인증 한 웹 사이트에 신용 카드 정보를 제공하고 (사기) 사이트에서 돈을 인출 한 경우 보증을 사용하여 손실 된 금액을 청구 할 수 있습니다.

그러나 실제로 이것은 거의 일어나지 않습니다. CA가 사기성 개체에 인증서를 제공하는 것은 극히 드문 일입니다 ( 전례는 아니지만 ). 그리고 그것이 일어날 때, 그것은 거의 그 CA의 끝입니다. 모든 신뢰가 상실되고 비즈니스를 계속 수행 할 수 없습니다. DigiNotar는 그 사건의 한 달 안에 파산을 선언했다.

또한 "피싱"사이트는 다루지 않습니다. 따라서 "paypal.com.scammer.org"에 신용 카드 정보를 제공하면 해당 도메인이 CA에 의해 확인 될 수 있지만 여전히 본인의 잘못입니다. CA가 PayPal 이 아닌 다른 사람에게 "paypal.com"에 대한 인증서를 잘못 제공 한 경우에만 해당됩니다 .


따라서 Registrar X에서 인증서를 구매 한 경우 Registrar Y는 사기 사이트에 인증서를 제공 한 다음 사용자가 Registrar X 또는 Registrar Y에서 청구합니까?
dave1010

1

아니 그들은 마케팅 특수 효과를해서는 안됩니다!

인증서는 어느 누구에게도 발급되지 않습니다.

신뢰할 수있는 발행자 인 회사는 자신이 실제로 누구인지 주장하고 합법적 인 비즈니스를 가지고 있다는 인증서를 요청하는 사람에 대해 조사합니다.

예를 들어 사기성이지만 Verisign으로부터 인증서를 얻은 웹 사이트에 연결하는 경우 (예를 들어), (사이트 및 발급자 모두)에 대해 많은 법적 조치를 취할 수있을 것으로 기대합니다.

SSL은 컴퓨터 보안과 관련하여 매우 얇은 개념 인 신뢰를 기반으로합니다.

신뢰할 수있는 발급자가 업무를 충분히 수행하지 않으면 보안이 약화됩니다.

개인적으로 나는 이것에 대한 역사적인 예가 있는지 모르겠습니다 (아무 것도 없기를 바랍니다)


5
인증서 도메인을 구입할 수 있다면 누구에게나 발급됩니다. 그들이 발급되지 않은 것은 도메인에 책임이없는 사람들입니다.
Donal Fellows

@DonalFellows 로컬 네트워크에 TLS 프록시가 포함되어 있지 않으면.
Phil Lello

인증서는 회사를 신뢰하지 말고 연결이 암호화되어 있는지 확인하십시오. 안타깝게도 CA는 신뢰할 수있는 서비스를 이용할 수 있다면 서비스없이 많은 돈을 벌기가 훨씬 쉽다고 결정했습니다. 셔틀 워스가 MS로부터 수백만 달러를 허비하지는 않았지만 MS 세일러 리를 사용하여 Thawte를 시작하고이를 판매하여 그에게 부유 한 부자가되도록하는 것을 잊지 마십시오.
Lothar
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.