براؤزر ویب سائٹ کی شناخت کی توثیق اور امپاسٹرز کے خلاف کیسے حفاظت کرتے ہیں

غیر منقولہ مواد

کیا آپ نے کبھی دیکھا ہے کہ آپ کا براؤزر کبھی کبھی کسی ویب سائٹ کی تنظیم کا نام کسی خفیہ کردہ ویب سائٹ پر ظاہر کرتا ہے؟ یہ اس بات کی علامت ہے کہ ویب سائٹ کے پاس توسیعی توثیق کا سرٹیفکیٹ ہے ، جس سے یہ ظاہر ہوتا ہے کہ ویب سائٹ کی شناخت کی تصدیق ہوگئی ہے۔

ای وی سرٹیفکیٹ کسی بھی اضافی خفیہ کاری کی طاقت فراہم نہیں کرتے ہیں - بجائے ، ایک ای وی سرٹیفکیٹ اس بات کی نشاندہی کرتا ہے کہ ویب سائٹ کی شناخت کی وسیع تر تصدیق ہوچکی ہے۔ معیاری SSL سرٹیفکیٹ کسی ویب سائٹ کی شناخت کی بہت کم تصدیق کرتے ہیں۔

براؤزر کیسے توسیعی توثیق کے سرٹیفکیٹس کو ظاہر کرتے ہیں

ایک انکرپٹڈ ویب سائٹ پر جو توسیعی توثیق کا سرٹیفکیٹ استعمال نہیں کرتی ہے ، فائر فاکس کا کہنا ہے کہ ویب سائٹ "(بذریعہ نامعلوم) چلائی جاتی ہے۔"

کروم کچھ بھی مختلف طریقے سے ظاہر نہیں کرتا اور کہتے ہیں کہ ویب سائٹ کی شناخت اس سرٹیفکیٹ اتھارٹی کے ذریعہ کی گئی تھی جس نے ویب سائٹ کا سرٹیفکیٹ جاری کیا تھا۔

جب آپ کسی ایسی ویب سائٹ سے جڑ جاتے ہیں جو توسیعی تصدیق نامہ استعمال کرتی ہے تو ، فائر فاکس آپ کو بتاتا ہے کہ یہ ایک مخصوص تنظیم کے ذریعہ چلائی جارہی ہے۔ اس ڈائیلاگ کے مطابق ، ویری سائن نے توثیق کی ہے کہ ہم اصلی پے پال ویب سائٹ سے منسلک ہیں ، جو پے پال ، انکارپوریشن کے ذریعہ چلائی جاتی ہے۔

جب آپ کسی سائٹ سے مربوط ہوجاتے ہیں جو کروم میں ای وی سرٹیفکیٹ استعمال کرتی ہے تو ، تنظیم کا نام آپ کے ایڈریس بار میں ظاہر ہوتا ہے۔ انفارمیشن ڈائیلاگ نے ہمیں بتایا ہے کہ پے پال کی شناخت کی توثیق توثیق سرٹیفکیٹ کے ذریعہ VeriSign نے کی ہے۔

SSL سرٹیفکیٹ میں دشواری

برسوں پہلے ، سرٹیفکیٹ کے حکام سرٹیفکیٹ جاری کرنے سے پہلے کسی ویب سائٹ کی شناخت کی تصدیق کے لئے استعمال ہوتے تھے۔ سرٹیفکیٹ اتھارٹی جانچ کرے گا کہ سرٹیفکیٹ کی درخواست کرنے والا کاروبار رجسٹرڈ تھا ، فون نمبر پر کال کریں اور تصدیق کریں کہ یہ کاروبار ایک جائز عمل تھا جو ویب سائٹ سے مماثل ہے۔

آخر کار ، سرٹیفکیٹ حکام نے "صرف ڈومین" سرٹیفکیٹ پیش کرنا شروع کردیئے۔ یہ سستے تھے ، کیوں کہ سرٹیفکیٹ اتھارٹی کے لئے فوری طور پر یہ جانچنا کم کام تھا کہ مطالبہ کرنے والے کے پاس کسی مخصوص ڈومین (ویب سائٹ) کا مالک ہے۔

فشروں نے آخر کار اس کا فائدہ اٹھانا شروع کیا۔ ایک فشر ڈومین paypall.com کو رجسٹر کرسکتا ہے اور صرف ڈومین کا سرٹیفکیٹ خرید سکتا ہے۔ جب کوئی صارف paypall.com سے منسلک ہوتا ہے تو ، صارف کا براؤزر معیاری لاک آئیکن ظاہر کرے گا ، جس سے تحفظ کا غلط احساس ملے گا۔ براؤزرز نے ڈومین صرف سرٹیفکیٹ اور کسی سرٹیفکیٹ کے مابین فرق ظاہر نہیں کیا جس میں ویب سائٹ کی شناخت کی زیادہ وسیع تر توثیق شامل تھی۔

ویب سائٹوں کی تصدیق کے لئے سرٹیفکیٹ حکام پر عوام کا اعتماد ختم ہوگیا ہے - یہ سرٹیفکیٹ کے عہدیداروں کی اپنی مستعدی کوشش میں ناکام رہنے کی صرف ایک مثال ہے۔ 2011 میں ، الیکٹرانک فرنٹیئر فاؤنڈیشن نے پایا کہ سرٹیفیکیٹ حکام نے "لوکل ہوسٹ" کے لئے 2000 سے زیادہ سرٹیفکیٹ جاری کیے ہیں - ایک ایسا نام جو ہمیشہ آپ کے موجودہ کمپیوٹر سے مراد ہے۔ ( ذریعہ ) غلط ہاتھوں میں ، اس طرح کا سرٹیفکیٹ انسانوں کے درمیان درمیانی حملوں کو آسان بنا سکتا ہے۔

توسیعی تصدیق نامے کس طرح مختلف ہیں

ای وی سرٹیفکیٹ سے ظاہر ہوتا ہے کہ ایک سرٹیفکیٹ اتھارٹی نے اس بات کی تصدیق کی ہے کہ ویب سائٹ کسی مخصوص تنظیم کے ذریعہ چلائی جاتی ہے۔ مثال کے طور پر ، اگر کسی فشر نے paypall.com کے لئے ای وی کا سرٹیفکیٹ حاصل کرنے کی کوشش کی تو درخواست مسترد کردی جائے گی۔

معیاری ایس ایس ایل سرٹیفکیٹ کے برخلاف ، صرف سرٹیفکیٹ کے حکام جو آزاد آڈٹ پاس کرتے ہیں ، انہیں ای وی سرٹیفکیٹ جاری کرنے کی اجازت ہے۔ سرٹیفیکیشن اتھارٹی / براؤزر فورم (سی اے / براؤزر فورم) ، سرٹیفیکیشن اتھارٹیز اور براؤزر فروشوں جیسے موزیلا ، گوگل ، ایپل ، اور مائیکرو سافٹ کے مسائل کی ایک رضاکار تنظیم ہے۔ سخت ہدایات توسیع شدہ توثیق سرٹیفکیٹ جاری کرنے والے تمام سرٹیفکیٹ حکام کو ان کی پیروی کرنی ہوگی یہ مثالی طور پر سرٹیفکیٹ کے حکام کو کسی اور "دوڑ تک نیچے" جانے سے روکتا ہے ، جہاں وہ سستے سرٹیفکیٹ پیش کرنے کے لئے ناقص تصدیقی طریقہ کار استعمال کرتے ہیں۔

مختصرا. یہ رہنما خطوط یہ مطالبہ کرتے ہیں کہ سرٹیفکیٹ حکام تنظیم کی تصدیق کرتے ہیں کہ وہ سرٹیفکیٹ کی درخواست کررہے ہو ، یہ باضابطہ طور پر رجسٹرڈ ہے ، جو زیربحث ڈومین کا مالک ہے ، اور یہ کہ سرٹیفکیٹ کی درخواست کرنے والا شخص تنظیم کی جانب سے کارروائی کر رہا ہے۔ اس میں سرکاری ریکارڈ کی جانچ پڑتال ، ڈومین کے مالک سے رابطہ کرنا اور تنظیم سے رابطہ کرنا شامل ہے جس کی تصدیق کرنے کے لئے کہ سرٹیفکیٹ کی درخواست کرنے والا شخص تنظیم کے لئے کام کرتا ہے۔

اس کے برعکس ، ڈومین صرف سرٹیفکیٹ کی توثیق میں اس بات کی تصدیق کرنے کے لئے ڈومین کے ریکارڈ کے ریکارڈ پر صرف ایک ہی جھلک شامل ہوسکتی ہے کہ رجسٹر ان ہی معلومات کو استعمال کررہا ہے۔ "لوکل ہوسٹ" جیسے ڈومینز کے لئے سرٹیفکیٹ جاری کرنے سے یہ ظاہر ہوتا ہے کہ کچھ سرٹیفکیٹ حکام اتنی تصدیق بھی نہیں کر رہے ہیں۔ ای وی سرٹیفکیٹ بنیادی طور پر سرٹیفکیٹ حکام پر عوام کا اعتماد بحال کرنے اور مسلط کرنے والوں کے خلاف دربان کی حیثیت سے اپنے کردار کو بحال کرنے کی ایک کوشش ہے۔