ब्राउज़रों ने वेबसाइट की पहचान को कैसे सत्यापित किया और इंपोस्टर्स के खिलाफ सुरक्षा प्रदान की
क्या आपने कभी गौर किया है कि आपका ब्राउज़र कभी-कभी किसी एन्क्रिप्टेड वेबसाइट पर किसी वेबसाइट के संगठन का नाम प्रदर्शित करता है? यह एक संकेत है कि वेबसाइट के पास एक विस्तारित सत्यापन प्रमाणपत्र है, जो दर्शाता है कि वेबसाइट की पहचान सत्यापित की गई है.
ईवी प्रमाणपत्र कोई अतिरिक्त एन्क्रिप्शन शक्ति प्रदान नहीं करते हैं - इसके बजाय, एक ईवी प्रमाण पत्र इंगित करता है कि वेबसाइट की पहचान का व्यापक सत्यापन हुआ है। मानक एसएसएल प्रमाणपत्र किसी वेबसाइट की पहचान का बहुत कम सत्यापन प्रदान करते हैं.
कैसे ब्राउज़र विस्तारित सत्यापन प्रमाण पत्र प्रदर्शित करते हैं
एक एन्क्रिप्टेड वेबसाइट पर जो एक विस्तारित सत्यापन प्रमाण पत्र का उपयोग नहीं करता है, फ़ायरफ़ॉक्स का कहना है कि वेबसाइट "(अज्ञात) द्वारा संचालित" है।
Chrome कुछ भी अलग तरीके से प्रदर्शित नहीं करता है और कहता है कि वेबसाइट की पहचान को प्रमाणपत्र प्राधिकारी द्वारा सत्यापित किया गया था जिसने वेबसाइट का प्रमाणपत्र जारी किया था.
जब आप एक ऐसी वेबसाइट से जुड़े होते हैं जो एक विस्तारित सत्यापन प्रमाणपत्र का उपयोग करता है, तो फ़ायरफ़ॉक्स आपको बताता है कि यह एक विशिष्ट संगठन द्वारा चलाया जाता है। इस संवाद के अनुसार, वेरिसाइन ने सत्यापित किया है कि हम वास्तविक पेपाल वेबसाइट से जुड़े हैं, जो कि पेपाल, इंक द्वारा संचालित है.
जब आप Chrome में EV प्रमाणपत्र का उपयोग करने वाली साइट से जुड़े होते हैं, तो संगठन का नाम आपके एड्रेस बार में दिखाई देता है। सूचना संवाद हमें बताता है कि पेपल की पहचान को वेरिसाइन द्वारा एक विस्तारित सत्यापन प्रमाणपत्र का उपयोग करके सत्यापित किया गया है.
SSL प्रमाणपत्र के साथ समस्या
प्रमाण पत्र जारी करने से पहले वर्षों पहले, प्रमाणपत्र अधिकारी वेबसाइट की पहचान को सत्यापित करने के लिए उपयोग करते थे। प्रमाणपत्र प्राधिकारी यह जाँच करेगा कि प्रमाणपत्र का अनुरोध करने वाला व्यवसाय पंजीकृत था, फ़ोन नंबर पर कॉल करें, और सत्यापित करें कि व्यवसाय एक वैध संचालन था जो वेबसाइट से मेल खाता था.
आखिरकार, प्रमाणपत्र अधिकारियों ने "डोमेन-ओनली" प्रमाणपत्र पेश करना शुरू किया। ये सस्ते थे, क्योंकि यह प्रमाण पत्र प्राधिकरण के लिए कम काम था कि जल्दी से यह जांचा जा सके कि आवश्यक मालिक के पास एक विशिष्ट डोमेन (वेबसाइट) है या नहीं।.
फ़िशर्स ने अंततः इसका लाभ उठाना शुरू कर दिया। एक फ़िशर डोमेन paypall.com को पंजीकृत कर सकता है और डोमेन-ओनली प्रमाणपत्र खरीद सकता है। जब कोई उपयोगकर्ता paypall.com से जुड़ा होता है, तो उपयोगकर्ता का ब्राउज़र मानक लॉक आइकन प्रदर्शित करेगा, जो सुरक्षा की झूठी भावना प्रदान करता है। ब्राउज़रों ने एक डोमेन-ओनली सर्टिफिकेट और एक सर्टिफिकेट के बीच अंतर को प्रदर्शित नहीं किया, जिसमें वेबसाइट की पहचान का अधिक व्यापक सत्यापन शामिल था.
वेबसाइटों को सत्यापित करने के लिए प्रमाणपत्र अधिकारियों में सार्वजनिक विश्वास गिर गया है - यह प्रमाणपत्र अधिकारियों का केवल एक उदाहरण है जो उनके उचित परिश्रम को करने में विफल है। 2011 में, इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन ने पाया कि प्रमाणपत्र अधिकारियों ने "लोकलहोस्ट" के लिए 2000 से अधिक प्रमाणपत्र जारी किए थे - एक ऐसा नाम जो हमेशा आपके वर्तमान कंप्यूटर को संदर्भित करता है। (स्रोत) गलत हाथों में, इस तरह के एक प्रमाण पत्र से मानव-मध्य हमलों को आसान बनाया जा सकता है.
कैसे विस्तारित सत्यापन प्रमाणपत्र अलग हैं
ईवी प्रमाण पत्र इंगित करता है कि एक प्रमाण पत्र प्राधिकरण ने सत्यापित किया है कि वेबसाइट एक विशिष्ट संगठन द्वारा संचालित है। उदाहरण के लिए, यदि किसी phisher ने paypall.com के लिए EV प्रमाण पत्र प्राप्त करने की कोशिश की, तो अनुरोध ठुकरा दिया जाएगा.
मानक एसएसएल प्रमाणपत्रों के विपरीत, केवल प्रमाणपत्र प्राधिकारी जो स्वतंत्र ऑडिट पास करते हैं, उन्हें ईवी प्रमाणपत्र जारी करने की अनुमति दी जाती है। प्रमाणन प्राधिकरण / ब्राउज़र फ़ोरम (CA / ब्राउज़र फ़ोरम), प्रमाणन प्राधिकरणों के एक स्वैच्छिक संगठन और ब्राउज़र विक्रेताओं जैसे मोज़िला, Google, Apple, और Microsoft सख्त दिशा-निर्देश जारी करते हैं, जिन्हें सभी प्रमाणपत्र प्राधिकारी विस्तारित सत्यापन प्रमाणपत्र जारी करते हैं। यह आदर्श रूप से प्रमाणपत्र अधिकारियों को एक और "रेस टू बॉटम" में उलझाने से रोकता है, जहां वे सस्ता प्रमाण पत्र प्रदान करने के लिए लैक्स सत्यापन प्रथाओं का उपयोग करते हैं.
संक्षेप में, दिशानिर्देशों की मांग है कि प्रमाणपत्र प्राधिकारी संगठन को सत्यापित करने का अनुरोध करता है कि प्रमाण पत्र आधिकारिक तौर पर पंजीकृत है, यह प्रश्न में डोमेन का मालिक है, और यह कि प्रमाणपत्र का अनुरोध करने वाला व्यक्ति संगठन की ओर से काम कर रहा है। इसमें सरकारी रिकॉर्ड की जांच करना, डोमेन के मालिक से संपर्क करना और संगठन से संपर्क करके यह सत्यापित करना है कि संगठन के लिए प्रमाण पत्र का अनुरोध करने वाला व्यक्ति.
इसके विपरीत, एक डोमेन-ओनली सर्टिफिकेट वेरिफिकेशन में केवल डोमेन के whois रिकॉर्ड पर एक नज़र शामिल हो सकती है, यह सत्यापित करने के लिए कि रजिस्ट्रार उसी जानकारी का उपयोग कर रहा है। "लोकलहोस्ट" जैसे डोमेन के लिए प्रमाणपत्र जारी करने का अर्थ है कि कुछ प्रमाणपत्र अधिकारी भी इतना सत्यापन नहीं कर रहे हैं। ईवी प्रमाण पत्र, मूल रूप से, प्रमाणपत्र अधिकारियों में सार्वजनिक विश्वास को बहाल करने और imposters के खिलाफ द्वारपाल के रूप में उनकी भूमिका को बहाल करने का प्रयास है.