HTTPS, जो SSL का उपयोग करता है , पहचान सत्यापन और सुरक्षा प्रदान करता है, ताकि आप जान सकें कि आप सही वेबसाइट से जुड़े हैं और कोई भी आप पर नजर नहीं डाल सकता है। वैसे भी यह सिद्धांत है। व्यवहार में, वेब पर एसएसएल एक गड़बड़ है।
इसका मतलब यह नहीं है कि HTTPS और SSL एन्क्रिप्शन बेकार हैं, क्योंकि वे निश्चित रूप से अनएन्क्रिप्टेड HTTP कनेक्शन का उपयोग करने से बेहतर हैं। यहां तक कि सबसे खराब स्थिति में, एक समझौता HTTPS कनेक्शन केवल एक HTTP कनेक्शन के रूप में असुरक्षित होगा।
प्रमाणपत्र अधिकारियों की सरासर संख्या
सम्बंधित: HTTPS क्या है, और मुझे क्यों ध्यान रखना चाहिए?
आपके ब्राउज़र में विश्वसनीय प्रमाणपत्र अधिकारियों की अंतर्निहित सूची है। ब्राउज़र केवल इन प्रमाणपत्र अधिकारियों द्वारा जारी किए गए प्रमाणपत्रों पर भरोसा करते हैं। यदि आप https://example.com पर गए हैं, तो example.com का वेब सर्वर आपके लिए एक SSL प्रमाणपत्र प्रस्तुत करेगा और आपका ब्राउज़र यह सुनिश्चित करने के लिए जाँच करेगा कि वेबसाइट का SSL प्रमाणपत्र किसी विश्वसनीय प्रमाणपत्र प्राधिकारी द्वारा example.com के लिए जारी किया गया था। यदि प्रमाणपत्र किसी अन्य डोमेन के लिए जारी किया गया था या यदि यह एक विश्वसनीय प्रमाणपत्र प्राधिकारी द्वारा जारी नहीं किया गया था, तो आप अपने ब्राउज़र में एक गंभीर चेतावनी देखेंगे।
एक बड़ी समस्या यह है कि बहुत सारे प्रमाणपत्र प्राधिकरण हैं, इसलिए एक प्रमाण पत्र प्राधिकरण के साथ समस्याएं सभी को प्रभावित कर सकती हैं। उदाहरण के लिए, आपको अपने डोमेन के लिए VeriSign से एक SSL प्रमाणपत्र प्राप्त हो सकता है, लेकिन कोई व्यक्ति किसी अन्य प्रमाणपत्र प्राधिकारी से समझौता या छल कर सकता है और अपने डोमेन के लिए प्रमाणपत्र भी प्राप्त कर सकता है।
प्रमाणपत्र प्राधिकारी हमेशा आत्मविश्वास से प्रेरित नहीं होते हैं
सम्बंधित: कैसे ब्राउज़र्स वेबसाइट की पहचान को सत्यापित करते हैं और इम्पोस्टर्स के खिलाफ सुरक्षा करते हैं
अध्ययन में पाया गया है कि कुछ प्रमाणपत्र प्राधिकारी प्रमाण पत्र जारी करते समय कम से कम परिश्रम करने में भी विफल रहे हैं। उन्होंने उन पतों के लिए एसएसएल प्रमाणपत्र जारी किए हैं जिनके लिए कभी भी प्रमाणपत्र की आवश्यकता नहीं होनी चाहिए, जैसे कि "लोकलहोस्ट", जो हमेशा स्थानीय कंप्यूटर का प्रतिनिधित्व करता है। 2011 में, ई.एफ.एफ. मिल गया वैध, विश्वसनीय प्रमाणपत्र अधिकारियों द्वारा जारी किए गए "लोकलहोस्ट" के लिए 2000 से अधिक प्रमाण पत्र।
यदि विश्वसनीय प्रमाणपत्र अधिकारियों ने यह सत्यापित किए बिना इतने प्रमाणपत्र जारी किए हैं कि पते पहली जगह में भी मान्य हैं, तो यह आश्चर्यचकित करना स्वाभाविक है कि उन्होंने और कौन सी गलतियाँ की हैं। शायद उन्होंने हमलावरों को अन्य लोगों की वेबसाइटों के लिए अनधिकृत प्रमाणपत्र भी जारी किए हैं।
विस्तारित सत्यापन प्रमाण पत्र, या EV प्रमाण पत्र, इस समस्या को हल करने का प्रयास करते हैं। हमने कवर किया एसएसएल प्रमाणपत्रों के साथ समस्याएं और ईवी प्रमाण पत्र उन्हें हल करने का प्रयास कैसे करते हैं .
प्रमाणपत्र प्राधिकारी जाली प्रमाणपत्र जारी करने के लिए बाध्य हो सकते हैं
क्योंकि बहुत सारे प्रमाणपत्र प्राधिकारी हैं, वे दुनिया भर में हैं, और कोई भी प्रमाण पत्र प्राधिकरण किसी भी वेबसाइट के लिए एक प्रमाण पत्र जारी कर सकता है, सरकारें प्रमाणपत्र अधिकारियों को उन्हें उस साइट के लिए एसएसएल प्रमाणपत्र जारी करने के लिए मजबूर कर सकती हैं जिसे वे प्रतिरूपण करना चाहते हैं।
यह शायद हाल ही में फ्रांस में हुआ, जहां गूगल ने खोजा google.com के लिए एक दुष्ट प्रमाणपत्र फ्रेंच प्रमाणपत्र प्राधिकारी ANSSI द्वारा जारी किया गया था। प्राधिकरण ने फ्रांसीसी सरकार को या जिसने भी इसे Google की वेबसाइट को लागू करने की अनुमति दी है, वह आसानी से मानव-में-मध्य हमले कर सकता है। ANSSI ने दावा किया कि प्रमाणपत्र का उपयोग केवल एक निजी नेटवर्क पर नेटवर्क के स्वयं के उपयोगकर्ताओं पर सांत्वना करने के लिए किया गया था, फ्रांसीसी सरकार द्वारा नहीं। यदि यह सत्य था, तो भी प्रमाण पत्र जारी करते समय यह ANSSI की अपनी नीतियों का उल्लंघन होगा।
परफेक्ट फॉरवर्ड सिक्योरिटी इज़ एवरीवन
कई साइटें "सही आगे गोपनीयता" का उपयोग नहीं करती हैं, एक ऐसी तकनीक जो एन्क्रिप्शन को दरार करने के लिए और अधिक कठिन बना देगी। सही आगे गोपनीयता के बिना, एक हमलावर एन्क्रिप्टेड डेटा की एक बड़ी मात्रा पर कब्जा कर सकता है और यह सब एक ही गुप्त कुंजी के साथ डिक्रिप्ट कर सकता है। हम जानते हैं कि एनएसए और दुनिया भर की अन्य राज्य सुरक्षा एजेंसियां इस डेटा को कैप्चर कर रही हैं। यदि वे किसी वेबसाइट द्वारा वर्षों बाद उपयोग की गई एन्क्रिप्शन कुंजी को खोजते हैं, तो वे इसका उपयोग उन सभी एन्क्रिप्ट किए गए डेटा को डिक्रिप्ट करने के लिए कर सकते हैं जो उन्होंने उस वेबसाइट और इसके साथ जुड़े सभी लोगों के बीच एकत्र किए हैं।
परफेक्ट फॉरवर्ड सीक्रेसी प्रत्येक सत्र के लिए एक अद्वितीय कुंजी उत्पन्न करके इससे बचाने में मदद करती है। दूसरे शब्दों में, प्रत्येक सत्र को एक अलग गुप्त कुंजी के साथ एन्क्रिप्ट किया गया है, इसलिए वे सभी को एक कुंजी के साथ अनलॉक नहीं किया जा सकता है। यह किसी को एन्क्रिप्टेड डेटा की एक बड़ी राशि को एक साथ डिक्रिप्ट करने से रोकता है। क्योंकि बहुत कम वेबसाइट इस सुरक्षा सुविधा का उपयोग करती हैं, इसलिए यह अधिक संभावना है कि राज्य सुरक्षा एजेंसियां भविष्य में इस सभी डेटा को डिक्रिप्ट कर सकती हैं।
मैन इन द मिडिल अटैक्स एंड यूनिकोड कैरेक्टर
अफसोस की बात है कि एसएसएल के साथ अभी भी मध्य-मध्य हमले संभव हैं। सिद्धांत रूप में, सार्वजनिक वाई-फाई नेटवर्क से कनेक्ट होना और अपने बैंक की साइट तक पहुंचना सुरक्षित होना चाहिए। आप जानते हैं कि कनेक्शन सुरक्षित है क्योंकि यह HTTPS से अधिक है, और HTTPS कनेक्शन आपको यह सत्यापित करने में भी मदद करता है कि आप वास्तव में अपने बैंक से जुड़े हैं।
व्यवहार में, सार्वजनिक वाई-फाई नेटवर्क पर आपके बैंक की वेबसाइट से जुड़ना खतरनाक हो सकता है। ऐसे ऑफ-द-शेल्फ समाधान हैं जो दुर्भावनापूर्ण हॉटस्पॉट हो सकते हैं जो उन लोगों पर मध्य-मध्य हमले करते हैं जो इससे जुड़ते हैं। उदाहरण के लिए, वाई-फाई हॉटस्पॉट आपकी ओर से बैंक से जुड़ सकता है, डेटा को आगे और पीछे भेज सकता है और बीच में बैठा सकता है। यह आपको एक HTTP पृष्ठ पर चुपके से पुनर्निर्देशित कर सकता है और आपकी ओर से HTTPS के साथ बैंक से जुड़ सकता है।
यह "होमोग्राफ-समान HTTPS पते" का भी उपयोग कर सकता है। यह एक ऐसा पता है जो स्क्रीन पर आपके बैंक के समान दिखता है, लेकिन जो वास्तव में विशेष यूनिकोड वर्णों का उपयोग करता है, इसलिए यह अलग है। इस अंतिम और सबसे डरावने प्रकार के हमले को एक अंतर्राष्ट्रीय डोमेन नाम होमोग्राफ हमले के रूप में जाना जाता है। यूनिकोड वर्ण सेट की जाँच करें और आपको वे वर्ण मिलेंगे जो मूल रूप से लैटिन वर्णमाला में प्रयुक्त 26 वर्णों के समान दिखते हैं। हो सकता है कि Google.com में ओ की आप वास्तव में ओ के साथ जुड़े नहीं हैं, लेकिन अन्य वर्ण हैं।
जब हमने देखा तब हमने इसे और अधिक विस्तार से कवर किया सार्वजनिक वाई-फाई हॉटस्पॉट का उपयोग करने के खतरे .
बेशक, HTTPS ज्यादातर समय ठीक काम करता है। जब आप कॉफी की दुकान पर जाते हैं और उनके वाई-फाई से जुड़ते हैं तो इस तरह के चतुर-से-बीच के हमले का सामना करना संभव नहीं है। वास्तविक बिंदु यह है कि HTTPS में कुछ गंभीर समस्याएं हैं। अधिकांश लोग इस पर भरोसा करते हैं और इन समस्याओं के बारे में नहीं जानते हैं, लेकिन यह कहीं भी सही नहीं है।
छवि क्रेडिट: सारा जॉय
