वेब पर HTTPS और SSL सुरक्षा के साथ 5 गंभीर समस्याएं
एचटीटीपीएस, जो एसएसएल का उपयोग करता है, पहचान सत्यापन और सुरक्षा प्रदान करता है, ताकि आप जान सकें कि आप सही वेबसाइट से जुड़े हैं और कोई भी आपके बारे में नहीं बता सकता है। यह सिद्धांत है, वैसे भी। व्यवहार में, वेब पर एसएसएल एक तरह की गड़बड़ है.
इसका मतलब यह नहीं है कि HTTPS और SSL एन्क्रिप्शन बेकार हैं, क्योंकि वे निश्चित रूप से अनएन्क्रिप्टेड HTTP कनेक्शन का उपयोग करने से बेहतर हैं। यहां तक कि सबसे खराब स्थिति में, एक समझौता HTTPS कनेक्शन केवल HTTP कनेक्शन के रूप में असुरक्षित होगा.
प्रमाणपत्र अधिकारियों की सरासर संख्या
आपके ब्राउज़र में विश्वसनीय प्रमाणपत्र अधिकारियों की अंतर्निहित सूची है। ब्राउज़र केवल इन प्रमाणपत्र अधिकारियों द्वारा जारी किए गए प्रमाणपत्र पर भरोसा करते हैं। यदि आप https://example.com पर गए हैं, तो example.com का वेब सर्वर आपके लिए एक एसएसएल प्रमाणपत्र प्रस्तुत करेगा और आपका ब्राउज़र यह सुनिश्चित करने के लिए जाँच करेगा कि वेबसाइट का एसएसएलटी प्रमाण पत्र विश्वसनीय.कॉम प्राधिकारी द्वारा उदाहरण के लिए जारी किया गया था। यदि प्रमाणपत्र किसी अन्य डोमेन के लिए जारी किया गया था या यदि यह एक विश्वसनीय प्रमाणपत्र प्राधिकारी द्वारा जारी नहीं किया गया था, तो आप अपने ब्राउज़र में एक गंभीर चेतावनी देखेंगे.
एक बड़ी समस्या यह है कि बहुत सारे प्रमाणपत्र प्राधिकरण हैं, इसलिए एक प्रमाण पत्र प्राधिकरण के साथ समस्याएं सभी को प्रभावित कर सकती हैं। उदाहरण के लिए, आपको अपने डोमेन के लिए VeriSign से एक SSL प्रमाणपत्र मिल सकता है, लेकिन कोई व्यक्ति किसी अन्य प्रमाणपत्र प्राधिकारी से समझौता या छल कर सकता है और अपने डोमेन के लिए प्रमाणपत्र भी प्राप्त कर सकता है.
प्रमाणपत्र प्राधिकारी हमेशा प्रेरित आत्मविश्वास नहीं है
अध्ययनों में पाया गया है कि कुछ प्रमाणपत्र प्राधिकारी प्रमाण पत्र जारी करते समय कम से कम परिश्रम करने में विफल रहे हैं। उन्होंने ऐसे पतों के लिए एसएसएल प्रमाणपत्र जारी किए हैं, जिन्हें कभी भी "स्थानीयहोस्ट" जैसे प्रमाणपत्र की आवश्यकता नहीं होनी चाहिए, जो हमेशा स्थानीय कंप्यूटर का प्रतिनिधित्व करता है। 2011 में, वैध, विश्वसनीय प्रमाणपत्र अधिकारियों द्वारा जारी किए गए "लोकलहोस्ट" के लिए ईएफएफ को 2000 से अधिक प्रमाण पत्र मिले.
यदि विश्वसनीय प्रमाणपत्र अधिकारियों ने यह सत्यापित किए बिना इतने सारे प्रमाण पत्र जारी किए हैं कि पते पहली जगह में भी मान्य हैं, तो यह आश्चर्य करना स्वाभाविक है कि उन्होंने और क्या गलतियाँ की हैं। शायद उन्होंने हमलावरों को अन्य लोगों की वेबसाइटों के लिए अनाधिकृत प्रमाण पत्र भी जारी किए हैं.
विस्तारित सत्यापन प्रमाण पत्र, या ईवी प्रमाण पत्र, इस समस्या को हल करने का प्रयास करते हैं। हमने एसएसएल प्रमाणपत्रों के साथ समस्याओं को कवर किया है और ईवी प्रमाण पत्र उन्हें हल करने का प्रयास करते हैं.
प्रमाणपत्र प्राधिकारी जाली प्रमाणपत्र जारी करने के लिए मजबूर हो सकते हैं
क्योंकि बहुत सारे सर्टिफिकेट अथॉरिटीज हैं, वे दुनिया भर में हैं, और कोई भी सर्टिफिकेट अथॉरिटी किसी भी वेबसाइट के लिए एक सर्टिफिकेट जारी कर सकती है, सरकारें सर्टिफिकेट अथॉरिटीज को उस साइट के लिए एसएसएल सर्टिफिकेट जारी करने के लिए मजबूर कर सकती हैं, जिस पर वे प्रतिरूपण करना चाहते हैं।.
यह संभवत: हाल ही में फ्रांस में हुआ था, जहां Google ने google.com के लिए एक दुष्ट सर्टिफिकेट की खोज की थी जो फ्रेंच सर्टिफिकेट अथॉरिटी ANSSI द्वारा जारी किया गया था। प्राधिकरण ने फ्रांसीसी सरकार को अनुमति दी होगी या जिसने भी इसे Google की वेबसाइट को लागू करने के लिए किया, वह आसानी से मानव-मध्य हमले कर सकता है। ANSSI ने दावा किया कि प्रमाण पत्र का उपयोग केवल निजी नेटवर्क पर नेटवर्क के उपयोगकर्ताओं के लिए उपयोग करने के लिए किया गया था, फ्रांसीसी सरकार द्वारा नहीं। यदि यह सत्य था, तो भी प्रमाण पत्र जारी करते समय यह ANSSI की अपनी नीतियों का उल्लंघन होगा.
परफेक्ट फॉरवर्ड सिक्योरिटी हर जगह इस्तेमाल नहीं की जाती है
कई साइटें "सही फॉरवर्ड सीक्रेसी" का उपयोग नहीं करती हैं, एक ऐसी तकनीक जो एन्क्रिप्शन को दरार करने के लिए और अधिक कठिन बना देगी। सही आगे गोपनीयता के बिना, एक हमलावर एन्क्रिप्टेड डेटा की एक बड़ी मात्रा पर कब्जा कर सकता है और यह सब एक ही गुप्त कुंजी के साथ डिक्रिप्ट कर सकता है। हम जानते हैं कि एनएसए और दुनिया भर की अन्य राज्य सुरक्षा एजेंसियां इस डेटा को कैप्चर कर रही हैं। यदि उन्हें किसी वेबसाइट द्वारा वर्षों बाद उपयोग की गई एन्क्रिप्शन कुंजी का पता चलता है, तो वे इसका उपयोग उन सभी एन्क्रिप्ट किए गए डेटा को डिक्रिप्ट करने के लिए कर सकते हैं जो उन्होंने उस वेबसाइट और इसके साथ जुड़े सभी लोगों के बीच एकत्रित किए हैं।.
परफेक्ट फॉरवर्ड सीक्रेसी प्रत्येक सत्र के लिए एक अद्वितीय कुंजी उत्पन्न करके इससे बचाने में मदद करती है। दूसरे शब्दों में, प्रत्येक सत्र को एक अलग गुप्त कुंजी के साथ एन्क्रिप्ट किया गया है, इसलिए वे सभी एक ही कुंजी के साथ अनलॉक नहीं किए जा सकते हैं। यह किसी को एक ही बार में एन्क्रिप्टेड डेटा की एक बड़ी राशि को डिक्रिप्ट करने से रोकता है। क्योंकि बहुत कम वेबसाइट इस सुरक्षा सुविधा का उपयोग करती हैं, इसलिए यह अधिक संभावना है कि राज्य सुरक्षा एजेंसियां भविष्य में इस सभी डेटा को डिक्रिप्ट कर सकती हैं.
मैन इन द मिडिल अटैक्स एंड यूनिकोड कैरेक्टर्स
अफसोस की बात है कि एसएसएल के साथ अभी भी मध्य-मध्य हमले संभव हैं। सिद्धांत रूप में, सार्वजनिक वाई-फाई नेटवर्क से कनेक्ट होना और अपने बैंक की साइट तक पहुंचना सुरक्षित होना चाहिए। आप जानते हैं कि कनेक्शन सुरक्षित है क्योंकि यह HTTPS से अधिक है, और HTTPS कनेक्शन आपको यह सत्यापित करने में भी मदद करता है कि आप वास्तव में अपने बैंक से जुड़े हैं.
व्यवहार में, सार्वजनिक वाई-फाई नेटवर्क पर आपके बैंक की वेबसाइट से जुड़ना खतरनाक हो सकता है। ऐसे ऑफ-द-शेल्फ समाधान हैं जो दुर्भावनापूर्ण हॉटस्पॉट हो सकते हैं जो उन लोगों पर मध्य-मध्य हमले करते हैं जो इससे जुड़ते हैं। उदाहरण के लिए, वाई-फाई हॉटस्पॉट आपकी ओर से बैंक से जुड़ सकता है, डेटा को आगे और पीछे भेज सकता है और बीच में बैठा सकता है। यह आपको एक HTTP पृष्ठ पर चुपके से पुनर्निर्देशित कर सकता है और आपकी ओर से HTTPS के साथ बैंक से जुड़ सकता है.
यह "होमोग्राफ़-समान HTTPS पते" का भी उपयोग कर सकता है। यह एक ऐसा पता है जो स्क्रीन पर आपके बैंक के समान दिखता है, लेकिन जो वास्तव में विशेष यूनिकोड वर्णों का उपयोग करता है, इसलिए यह अलग है। इस अंतिम और डरावने प्रकार के हमले को एक अंतर्राष्ट्रीय डोमेन नाम होमोग्राफ हमले के रूप में जाना जाता है। यूनिकोड वर्ण सेट की जाँच करें और आपको वे वर्ण मिलेंगे जो मूल रूप से लैटिन वर्णमाला में प्रयुक्त 26 वर्णों के समान दिखते हैं। हो सकता है कि आप जिस Google.com से जुड़े हों, वह वास्तव में ओ का न हो, लेकिन अन्य वर्ण हैं.
हमने इसे और अधिक विस्तार से कवर किया जब हमने सार्वजनिक वाई-फाई हॉटस्पॉट के उपयोग के खतरों को देखा.
बेशक, HTTPS ज्यादातर समय ठीक काम करता है। जब आप कॉफी शॉप पर जाते हैं और उनके वाई-फाई से कनेक्ट होते हैं, तो इस तरह के चतुर-से-बीच के हमले का सामना करना संभव नहीं है। वास्तविक बिंदु यह है कि HTTPS में कुछ गंभीर समस्याएं हैं। ज्यादातर लोग इस पर भरोसा करते हैं और इन समस्याओं के बारे में नहीं जानते हैं, लेकिन यह कहीं भी सही नहीं है.
इमेज क्रेडिट: सारा जॉय