क्या किसी ने कभी एसएसएल प्रमाणपत्र पर वारंटी का दावा किया है? [बन्द है]

20

SSL प्रमाणपत्र अक्सर वारंटियों या गारंटियों की अलग-अलग मात्रा का विज्ञापन करते हैं, उदाहरण के लिए $ 500,000 या $ 1m।

मेरा सवाल है, एसएसएल के इतिहास में, क्या कभी किसी ने वास्तव में इन वारंटियों में से एक का सफलतापूर्वक दावा किया है? क्या कभी कोई मामला हुआ है? यदि नहीं, तो क्या यह मान लेना उचित है कि वे सिर्फ नौटंकी कर रहे हैं?

web-development  web-services  websites  certificate  ssl 
टॉम
स्रोत
इस साइट के लिए बिल्कुल ऑन-टॉपिक नहीं, यह security.stackexchange.com पर बेहतर हो सकता है ।
साइक्लॉप्स
@ चक्रवात मैंने वेबमास्टर्स एक्सचेंज में आजमाए, लेकिन उन्होंने इसे बंद कर दिया, मुझे नहीं पता कि यह कहां पोस्ट किया जाए
टॉम
मुझे नहीं लगता कि अभी नेटवर्क पर कोई साइट है जो इस प्रश्न को क्षेत्र में लाएगी: यह केवल सामान्य ज्ञान है। निश्चित रूप से ऑफ-टॉपिक यहां: सॉफ्टवेयर डेवलपमेंट से कोई लेना-देना नहीं।
यह skeptics.SE के लिए एक उचित फिट हो सकता है, क्योंकि वे सामान को डिब करना पसंद करते हैं और यह वारंटी पूरी तरह से "नशे" की तरह लगता है।
रोमन स्टार्कोव जूल

जवाबों:

15

वारंटी वास्तव में भ्रामक है, वास्तव में, क्योंकि यह प्रमाण पत्र खरीदने वाले को जारी नहीं किया जाता है - यह साइट के उपयोगकर्ताओं को जारी किया जाता है। तो मान लें कि आप अपने क्रेडिट कार्ड का विवरण एक ऐसी वेबसाइट को देते हैं जो CA द्वारा सत्यापित होती है जो वारंटी प्रदान करती है और (कपटपूर्ण) साइट आपसे पैसे लेती है, तो आप अपने खोए हुए धन का दावा करने के लिए वारंटी का उपयोग कर सकते हैं।

वास्तविकता में, हालांकि, यह लगभग कभी नहीं होता है। एक कपटपूर्ण संस्था को प्रमाणपत्र देने के लिए CA के लिए यह अत्यंत दुर्लभ ( हालांकि पूरी तरह से अनसुना नहीं ) है। और जब ऐसा होता है, तो यह बहुत हद तक उस सीए का अंत होता है - सारा भरोसा खो जाता है और यह व्यवसाय का संचालन जारी नहीं रख सकता। DigiNotar ने उस घोटाले के एक महीने के भीतर दिवालिया घोषित कर दिया।

ध्यान दें कि यह "फ़िशिंग" साइटों को भी कवर नहीं करता है। इसलिए यदि आप अपने क्रेडिट कार्ड का विवरण "paypal.com.scammer.org" को देते हैं, तो उस डोमेन को CA द्वारा सत्यापित किया जा सकता है, फिर भी यह आपकी अपनी गलती है। यह केवल तभी होगा जब कोई CA ग़लती से "paypal.com" के लिए कोई प्रमाण पत्र दे, जो कि PayPal नहीं है

डीन हार्डिंग
स्रोत
इसलिए अगर मैं रजिस्ट्रार एक्स से एक सर्टिफिकेट खरीदता हूं, तो रजिस्ट्रार वाई एक धोखाधड़ी वाली साइट को एक सर्टिफिकेट देता है, तो क्या यूजर्स रजिस्ट्रार एक्स या रजिस्ट्रार वाई से दावा करते हैं?
dave1010
1

नहीं, उन्हें नौटंकी नहीं करनी चाहिए!

प्रमाण पत्र सिर्फ किसी एक को जारी नहीं किए जाते हैं।

जिन कंपनियों पर भरोसा किया जाता है, वे किसी प्रमाणपत्र पर अनुरोध करने वाले व्यक्ति पर शोध करते हैं कि वह वास्तव में वह है जो वह दावा करता है और उसका वैध व्यवसाय है।

यदि उदाहरण के लिए आप एक ऐसी वेबसाइट से जुड़ते हैं जो धोखाधड़ी है, लेकिन Verisign से एक प्रमाण पत्र प्राप्त किया है (उदाहरण के रूप में उल्लेख किया गया है), तो मैं उम्मीद करूंगा कि आप (साइट और जारीकर्ता दोनों) के खिलाफ कई कानूनी कार्रवाई कर सकते हैं।

एसएसएल विश्वास पर आधारित है जो कंप्यूटर सुरक्षा के लिए एक बहुत ही पतली अवधारणा है।

यदि विश्वसनीय जारीकर्ता अपना काम अच्छे से नहीं कर रहे हैं, तो सुरक्षा नाली से नीचे चली जाती है।

व्यक्तिगत रूप से मुझे नहीं पता कि इस पर कोई ऐतिहासिक उदाहरण है (मुझे आशा है कि कोई भी नहीं है)

user10326
स्रोत
5
प्रमाणपत्र केवल किसी के बारे में जारी किए जाते हैं , बशर्ते वे एक डोमेन खरीद सकें। वे (जिनके लिए माना जाता है) जारी नहीं किए जाते हैं वे लोग हैं जो डोमेन के लिए ज़िम्मेदार नहीं हैं।
डोनाल्ड फेलो
@DonalFellows जब तक आपके स्थानीय नेटवर्क में TLS प्रॉक्सी शामिल नहीं है।
फिल लेलो
एक प्रमाण पत्र को कभी भी कंपनी पर भरोसा नहीं करना चाहिए लेकिन केवल यह सुनिश्चित करें कि कनेक्शन एन्क्रिप्ट किया गया है। अनजाने में सीए ने फैसला किया है कि अगर किसी भरोसेमंद चीज के साथ जा सकते हैं तो बिना किसी सेवा के पैसा कमाना बहुत आसान है। मत भूलो कि शटलवर्थ ने एमएस से अपने हंडरट को लाखों नहीं बनाया बल्कि थावे को शुरू करने और उसे गंदी अमीर बनाने के लिए बेचने के लिए अपने एमएस सैलरी का इस्तेमाल किया।
लोथर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.