Как Robokassa предотвращает мошенничество: история спасения доверчивых австралийцев
О том, как работает система безопасности сервиса приёма платежей Robokassa на примере одного интересного кейса.
О том, как работает система безопасности сервиса приёма платежей Robokassa на примере одного интересного кейса.
2. Убедитесь в наличии SSL-сертификата у сайта, где планируете совершать покупку. SSL-сертификат подтверждает, что домен принадлежит реальному юридическому лицу, и обеспечивает безопасное соединение между сервером сайта и вашим браузером. Подробнее о том, как проверить SSL-сертификат, — в этой статье.
Сейчас SSL сертификат может получить каждый желающий безо всякой аутентификации, и он не обязательно будет юридическим лицом. Причем, совершенно бесплатно в течение 30 секунд на любой домен.
Не совсем так. Точнее, совсем не так.
БольшАя часть платных сертификатов (и все бесплатные, в т.ч. и Let's Encrypt) подтверждают только то, что домен, в который стучится браузер — это тот же домен, который отдает данные. Данные не нарушены и не подделаны. Данные зашифрованы. Т.е. по сути, они ничего не говорят о владельце домена и не подтверждают, что он юрлицо. Имея доступ к SSH, можно за 5 минут получить сертификат Let's Encrypt, и за 3 минуты его продлить. Ну и автопродление там хорошо настроено.
Сертификаты, содержащие в себе не только имя домена, но и название организации, город, страну, и т.д. — дорогие, и требуют физической верификации при выпуске, вплоть до телефонного звонка из центра сертификации в организацию по телефону, указанному в регистрационных документах компании.
Как? Через Let's Encrypt?