Les certificats SSL annoncent souvent des montants ou des garanties variables, par exemple 500 000 $ ou 1 million de dollars.
Ma question est, dans l'histoire de SSL, quelqu'un a-t-il déjà réussi à réclamer l'une de ces garanties? Y a-t-il déjà eu un cas? Sinon, est-il juste de supposer qu'il ne s'agit que de gadgets marketing?
Réponses:
La garantie est en quelque sorte trompeuse, car elle n'est pas délivrée à l'acheteur du certificat - elle est délivrée aux utilisateurs du site. Supposons donc que vous donniez les détails de votre carte de crédit à un site Web vérifié par une autorité de certification qui offre une garantie et que le site (frauduleux) vous prenne de l'argent, alors vous pouvez utiliser la garantie pour récupérer l'argent que vous avez perdu.
En réalité, cependant, cela n'arrive presque jamais. Il est extrêmement rare ( mais pas totalement inconnu ) qu'une autorité de certification remette un certificat à une entité frauduleuse. Et lorsque cela se produit, c'est à peu près la fin de cette autorité de certification - toute confiance est perdue et elle ne peut pas continuer à faire des affaires. DigiNotar a déclaré faillite dans le mois suivant ce scandale.
Notez qu'il ne couvre pas non plus les sites de "phishing". Donc, si vous donnez les détails de votre carte de crédit à "paypal.com.scammer.org", même si ce domaine peut être vérifié par une autorité de certification, c'est toujours votre faute. Ce ne serait que si une AC a donné par erreur un certificat pour "paypal.com" à quelqu'un qui n'est pas PayPal.
la source
Non, ils ne devraient pas commercialiser de gadgets!
Les certificats ne sont délivrés à personne.
Les entreprises qui sont des émetteurs de confiance font des recherches sur quelqu'un qui demande un certificat qu'il est bien celui qu'il prétend et qu'il a une entreprise légitime.
Si, par exemple, vous vous connectez à un site Web frauduleux mais qui a obtenu un certificat de Verisign (mentionné à titre d'exemple), je m'attends à ce que vous puissiez engager de nombreuses actions en justice contre (le site et l'émetteur).
SSL est basé sur la confiance qui est un concept très mince en matière de sécurité informatique.
Si les émetteurs de confiance ne font pas assez bien leur travail, la sécurité tombe à l'eau.
Personnellement, je ne sais pas s'il y a un exemple historique à ce sujet (j'espère qu'il n'y en a pas)
la source