क्या आपने कभी देखा है कि आपका ब्राउज़र कभी-कभी किसी एन्क्रिप्टेड वेबसाइट पर किसी वेबसाइट के संगठन का नाम प्रदर्शित करता है? यह एक संकेत है कि वेबसाइट के पास एक विस्तारित सत्यापन प्रमाणपत्र है, जो दर्शाता है कि वेबसाइट की पहचान सत्यापित हो गई है।
ईवी प्रमाणपत्र किसी भी अतिरिक्त एन्क्रिप्शन शक्ति प्रदान नहीं करते हैं - इसके बजाय, एक ईवी प्रमाण पत्र इंगित करता है कि वेबसाइट की पहचान का व्यापक सत्यापन हुआ है। मानक एसएसएल प्रमाणपत्र किसी वेबसाइट की पहचान का बहुत कम सत्यापन प्रदान करते हैं।
कैसे ब्राउज़र विस्तारित सत्यापन प्रमाणपत्र प्रदर्शित करते हैं
एक एन्क्रिप्टेड वेबसाइट पर जो एक विस्तारित सत्यापन प्रमाण पत्र का उपयोग नहीं करता है, फ़ायरफ़ॉक्स का कहना है कि वेबसाइट "(अज्ञात) द्वारा संचालित" है।
Chrome कुछ भी अलग तरीके से प्रदर्शित नहीं करता है और कहता है कि वेबसाइट की पहचान को प्रमाणपत्र प्राधिकारी द्वारा सत्यापित किया गया था जिसने वेबसाइट का प्रमाणपत्र जारी किया था।
जब आप विस्तारित सत्यापन प्रमाणपत्र का उपयोग करने वाली वेबसाइट से जुड़े होते हैं, तो फ़ायरफ़ॉक्स आपको एक विशिष्ट संगठन द्वारा चलाने के बारे में बताता है। इस संवाद के अनुसार, वेरिसाइन ने सत्यापित किया है कि हम वास्तविक पेपाल वेबसाइट से जुड़े हैं, जो पेपाल, इंक। द्वारा संचालित है।
जब आप Chrome में EV प्रमाणपत्र का उपयोग करने वाली साइट से जुड़े होते हैं, तो संगठन का नाम आपके पता बार में दिखाई देता है। सूचना संवाद हमें बताता है कि पेपल की पहचान को वेरिसाइन द्वारा विस्तारित सत्यापन प्रमाणपत्र का उपयोग करके सत्यापित किया गया है।
SSL प्रमाणपत्र के साथ समस्या
प्रमाण पत्र जारी करने से पहले वेबसाइट के पहचान को सत्यापित करने के लिए वर्षों पहले, प्रमाणपत्र प्राधिकारी उपयोग करते थे। प्रमाणपत्र प्राधिकारी जाँच करेगा कि प्रमाणपत्र का अनुरोध करने वाला व्यवसाय पंजीकृत था, फ़ोन नंबर पर कॉल करें, और सत्यापित करें कि व्यवसाय एक वैध संचालन था जो वेबसाइट से मेल खाता था।
आखिरकार, प्रमाणपत्र अधिकारियों ने "डोमेन-ओनली" प्रमाणपत्र पेश करना शुरू किया। ये सस्ते थे, क्योंकि यह प्रमाण पत्र प्राधिकारी के लिए कम काम था कि जल्दी से जांचा जा सके कि आवश्यक मालिक के पास एक विशिष्ट डोमेन (वेबसाइट) है।
फ़िशर्स ने अंततः इसका लाभ उठाना शुरू कर दिया। एक फ़िशर डोमेन paypall.com को पंजीकृत कर सकता है और डोमेन-ओनली प्रमाणपत्र खरीद सकता है। जब कोई उपयोगकर्ता paypall.com से जुड़ा होता है, तो उपयोगकर्ता का ब्राउज़र मानक लॉक आइकन प्रदर्शित करेगा, जो सुरक्षा की झूठी भावना प्रदान करता है। ब्राउज़रों ने केवल डोमेन-प्रमाणपत्र और प्रमाणपत्र के बीच अंतर प्रदर्शित नहीं किया, जिसमें वेबसाइट की पहचान का अधिक व्यापक सत्यापन शामिल था।
वेबसाइटों को सत्यापित करने के लिए प्रमाणपत्र अधिकारियों में सार्वजनिक विश्वास गिर गया है - यह प्रमाणपत्र अधिकारियों का सिर्फ एक उदाहरण है जो उनके उचित परिश्रम को करने में विफल है। 2011 में, इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन ने पाया कि प्रमाणपत्र अधिकारियों ने "लोकलहोस्ट" के लिए 2000 से अधिक प्रमाणपत्र जारी किए थे - एक ऐसा नाम जो हमेशा आपके वर्तमान कंप्यूटर को संदर्भित करता है। ( स्रोत ) गलत हाथों में, इस तरह के एक प्रमाण पत्र से मानव-मध्य हमलों को आसान बनाया जा सकता है।
कैसे विस्तारित सत्यापन प्रमाणपत्र अलग हैं
एक ईवी प्रमाण पत्र इंगित करता है कि एक प्रमाण पत्र प्राधिकरण ने सत्यापित किया है कि वेबसाइट एक विशिष्ट संगठन द्वारा संचालित है। उदाहरण के लिए, यदि किसी phisher ने paypall.com के लिए EV प्रमाण पत्र प्राप्त करने का प्रयास किया, तो अनुरोध ठुकरा दिया जाएगा।
मानक एसएसएल प्रमाणपत्रों के विपरीत, केवल प्रमाणपत्र प्राधिकारी जो स्वतंत्र ऑडिट पास करते हैं, उन्हें ईवी प्रमाणपत्र जारी करने की अनुमति दी जाती है। प्रमाणन प्राधिकरण / ब्राउज़र फ़ोरम (CA / ब्राउज़र फ़ोरम), प्रमाणीकरण प्राधिकारी और ब्राउज़र विक्रेताओं का एक स्वैच्छिक संगठन जैसे मोज़िला, Google, Apple और Microsoft समस्याएँ सख्त दिशा निर्देश विस्तारित प्रमाण पत्र जारी करने वाले सभी प्रमाणपत्र अधिकारियों को पालन करना चाहिए। यह आदर्श रूप से प्रमाणपत्र अधिकारियों को एक और "रेस टू बॉटम" में उलझने से रोकता है, जहां वे सस्ता प्रमाण पत्र प्रदान करने के लिए लैक्स सत्यापन प्रथाओं का उपयोग करते हैं।
संक्षेप में, दिशानिर्देशों की मांग है कि प्रमाणपत्र प्राधिकारी संगठन को सत्यापित करते हुए प्रमाण पत्र का अनुरोध करते हुए आधिकारिक तौर पर पंजीकृत है, कि यह प्रश्न में डोमेन का मालिक है, और प्रमाण पत्र का अनुरोध करने वाला व्यक्ति संगठन की ओर से काम कर रहा है। इसमें सरकारी रिकॉर्ड की जाँच करना, डोमेन के मालिक से संपर्क करना, और यह सत्यापित करने के लिए संगठन से संपर्क करना है कि वह व्यक्ति जो संगठन के लिए प्रमाणपत्र का अनुरोध करता है।
इसके विपरीत, एक डोमेन-ओनली सर्टिफिकेट वेरिफिकेशन में केवल डोमेन के whois रिकॉर्ड पर एक नज़र शामिल हो सकती है, यह सत्यापित करने के लिए कि रजिस्ट्रार उसी जानकारी का उपयोग कर रहा है। "लोकलहोस्ट" जैसे डोमेन के लिए प्रमाण पत्र जारी करने का अर्थ है कि कुछ प्रमाणपत्र प्राधिकारी उस सत्यापन को भी नहीं कर रहे हैं। ईवी प्रमाण पत्र, मूल रूप से, प्रमाण पत्र अधिकारियों में सार्वजनिक विश्वास को बहाल करने और imposters के खिलाफ द्वारपाल के रूप में उनकी भूमिका को बहाल करने का प्रयास है।
