Как Robokassa предотвращает мошенничество: история спасения доверчивых австралийцев

О том, как работает система безопасности сервиса приёма платежей Robokassa на примере одного интересного кейса.

4646
реклама
разместить

2. Убедитесь в наличии SSL-сертификата у сайта, где планируете совершать покупку. SSL-сертификат подтверждает, что домен принадлежит реальному юридическому лицу, и обеспечивает безопасное соединение между сервером сайта и вашим браузером. Подробнее о том, как проверить SSL-сертификат, — в этой статье.

Сейчас SSL сертификат может получить каждый желающий безо всякой аутентификации, и он не обязательно будет юридическим лицом. Причем, совершенно бесплатно в течение 30 секунд на любой домен.

4

Не совсем так. Точнее, совсем не так.

БольшАя часть платных сертификатов (и все бесплатные, в т.ч. и Let's Encrypt) подтверждают только то, что домен, в который стучится браузер — это тот же домен, который отдает данные. Данные не нарушены и не подделаны. Данные зашифрованы. Т.е. по сути, они ничего не говорят о владельце домена и не подтверждают, что он юрлицо. Имея доступ к SSH, можно за 5 минут получить сертификат Let's Encrypt, и за 3 минуты его продлить. Ну и автопродление там хорошо настроено.

Сертификаты, содержащие в себе не только имя домена, но и название организации, город, страну, и т.д. — дорогие, и требуют физической верификации при выпуске, вплоть до телефонного звонка из центра сертификации в организацию по телефону, указанному в регистрационных документах компании.

Как? Через Let's Encrypt?