इसका मतलब यह नहीं है कि HTTPS और SSL एन्क्रिप्शन बेकार हैं, क्योंकि वे अनएन्क्रिप्टेड HTTP कनेक्शन का उपयोग करने से निश्चित रूप से बेहतर हैं। यहां तक कि सबसे खराब स्थिति परिदृश्य में, एक समझौता किया गया HTTPS कनेक्शन केवल HTTP कनेक्शन के रूप में असुरक्षित होगा।
प्रमाणपत्र प्राधिकरणों की सरासर संख्या
आपके ब्राउज़र में विश्वसनीय प्रमाणपत्र प्राधिकरणों की एक अंतर्निहित सूची है। ब्राउज़र केवल इन प्रमाणपत्र प्राधिकरणों द्वारा जारी प्रमाणपत्रों पर भरोसा करते हैं। यदि आपने https://example.com का दौरा किया है, तो example.com पर वेब सर्वर आपके लिए एक SSL प्रमाणपत्र प्रस्तुत करेगा और आपका ब्राउज़र यह सुनिश्चित करने के लिए जांच करेगा कि वेबसाइट के SSL प्रमाणपत्र को example.com के लिए एक विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा जारी किया गया था। अगर प्रमाण पत्र किसी अन्य डोमेन के लिए जारी किया गया था या यदि इसे किसी विश्वसनीय प्रमाणपत्र प्राधिकरण द्वारा जारी नहीं किया गया था, तो आपको अपने ब्राउज़र में गंभीर चेतावनी दिखाई देगी।
एक बड़ी समस्या यह है कि इतने सारे प्रमाण पत्र प्राधिकरण हैं, इसलिए एक प्रमाणपत्र प्राधिकारी के साथ समस्याएं सभी को प्रभावित कर सकती हैं। उदाहरण के लिए, आपको VeriSign से अपने डोमेन के लिए एक SSL प्रमाणपत्र मिल सकता है, लेकिन कोई अन्य प्रमाणपत्र प्राधिकरण से समझौता या चाल कर सकता है और आपके डोमेन के लिए प्रमाण पत्र भी प्राप्त कर सकता है।
सर्टिफिकेट अथॉरिटीज ने हमेशा विश्वास नहीं किया है
अध्ययनों से पता चला है कि प्रमाण पत्र जारी करते समय कुछ प्रमाण पत्र प्राधिकरण न्यूनतम सावधानी बरतने में नाकाम रहे हैं। उन्होंने एसएसएल प्रमाणपत्रों को ऐसे पते के लिए जारी किया है जिन्हें कभी भी प्रमाणपत्र की आवश्यकता नहीं होनी चाहिए, जैसे कि "लोकलहोस्ट", जो हमेशा स्थानीय कंप्यूटर का प्रतिनिधित्व करता है। 2011 में, ईएफएफ ने वैध, विश्वसनीय प्रमाणपत्र प्राधिकरणों द्वारा जारी "लोकलहोस्ट" के लिए 2000 से अधिक प्रमाणपत्र प्राप्त किए।
यदि भरोसेमंद सर्टिफिकेट अथॉरिटीज ने यह प्रमाणित किए बिना इतने सारे प्रमाण पत्र जारी किए हैं कि पते पहले स्थान पर भी मान्य हैं, तो यह आश्चर्यजनक है कि उन्होंने अन्य गलतियों को क्या किया है। शायद उन्होंने अन्य लोगों की वेबसाइटों के लिए हमलावरों को अनधिकृत प्रमाणपत्र भी जारी किए हैं।
विस्तारित प्रमाणीकरण प्रमाण पत्र, या ईवी प्रमाण पत्र, इस समस्या को हल करने का प्रयास करें। हमने एसएसएल प्रमाणपत्रों के साथ समस्याओं को कवर किया है और कैसे ईवी प्रमाणपत्र उन्हें हल करने का प्रयास करते हैं।
प्रमाण पत्र प्राधिकरणों को नकली प्रमाणपत्र जारी करने के लिए मजबूर किया जा सकता है
चूंकि बहुत से प्रमाण पत्र प्राधिकरण हैं, वे पूरी दुनिया में हैं, और कोई प्रमाण पत्र प्राधिकरण किसी भी वेबसाइट के लिए प्रमाण पत्र जारी कर सकता है, सरकारें प्रमाण पत्र प्राधिकरणों को उन साइट के लिए SSL प्रमाणपत्र जारी करने के लिए मजबूर कर सकती हैं, जिन्हें वे प्रतिरूपित करना चाहते हैं।
यह शायद हाल ही में फ्रांस में हुआ था, जहां Google ने फ्रेंच सर्टिफिकेट अथॉरिटी एएनएसएसआई द्वारा google.com जारी किए गए एक दुष्ट प्रमाण पत्र की खोज की थी। प्राधिकरण ने फ्रेंच सरकार को अनुमति दी होगी या जो भी इसे Google की वेबसाइट का प्रतिरूपण करने के लिए किया गया था, आसानी से मैन-इन-द-बीच हमले कर रहा था। एएनएसएसआई ने दावा किया कि सर्टिफिकेट केवल फ्रांसीसी सरकार द्वारा नहीं, बल्कि नेटवर्क के अपने उपयोगकर्ताओं पर स्नूप करने के लिए एक निजी नेटवर्क पर इस्तेमाल किया गया था। यहां तक कि यदि यह सत्य था, तो प्रमाण पत्र जारी करते समय यह एएनएसएसआई की अपनी नीतियों का उल्लंघन होगा।
बिल्कुल सही अग्रेषित गोपनीयता हर जगह प्रयोग नहीं किया जाता है
कई साइटें "पूर्ण आगे की गोपनीयता" का उपयोग नहीं करती हैं, एक ऐसी तकनीक जो एन्क्रिप्शन को क्रैक करने में अधिक कठिन बनाती है। पूर्ण आगे की गोपनीयता के बिना, एक हमलावर बड़ी संख्या में एन्क्रिप्टेड डेटा को पकड़ सकता है और इसे एक ही गुप्त कुंजी के साथ डिक्रिप्ट कर सकता है। हम जानते हैं कि दुनिया भर में एनएसए और अन्य राज्य सुरक्षा एजेंसियां इस डेटा को कैप्चर कर रही हैं। यदि वे बाद में वेबसाइट द्वारा उपयोग की जाने वाली एन्क्रिप्शन कुंजी खोजते हैं, तो वे उस वेबसाइट के बीच एकत्र किए गए सभी एन्क्रिप्टेड डेटा को डिक्रिप्ट करने के लिए इसका उपयोग कर सकते हैं और जो उससे जुड़े हुए हैं।
बिल्कुल सही आगे की गोपनीयता प्रत्येक सत्र के लिए एक अद्वितीय कुंजी उत्पन्न करके इसके खिलाफ सुरक्षा में मदद करता है। दूसरे शब्दों में, प्रत्येक सत्र एक अलग गुप्त कुंजी के साथ एन्क्रिप्ट किया जाता है, इसलिए वे सभी को एक कुंजी से अनलॉक नहीं किया जा सकता है। यह किसी को एक बार में बड़ी मात्रा में एन्क्रिप्टेड डेटा को डिक्रिप्ट करने से रोकता है। चूंकि बहुत कम वेबसाइटें इस सुरक्षा सुविधा का उपयोग करती हैं, इसलिए अधिक संभावना है कि राज्य सुरक्षा एजेंसियां भविष्य में इस डेटा को डिक्रिप्ट कर सकती हैं।
मध्य हमलों और यूनिकोड वर्णों में आदमी
अफसोस की बात है, एसएसएल के साथ मैन-इन-द-बीच हमले अभी भी संभव हैं। सिद्धांत रूप में, सार्वजनिक वाई-फाई नेटवर्क से कनेक्ट होना और अपने बैंक की साइट तक पहुंचना सुरक्षित होना चाहिए। आप जानते हैं कि कनेक्शन सुरक्षित है क्योंकि यह HTTPS से अधिक है, और HTTPS कनेक्शन आपको यह सत्यापित करने में भी सहायता करता है कि आप वास्तव में अपने बैंक से जुड़े हुए हैं।
व्यावहारिक रूप से, सार्वजनिक बैंक वाई-फाई नेटवर्क पर अपने बैंक की वेबसाइट से कनेक्ट करना खतरनाक हो सकता है। ऑफ-द-शेल्फ समाधान हैं जो दुर्भावनापूर्ण हॉटस्पॉट को कनेक्ट करने वाले लोगों पर मैन-इन-द-बीच हमले कर सकते हैं। उदाहरण के लिए, एक वाई-फाई हॉटस्पॉट आपकी ओर से बैंक से कनेक्ट हो सकता है, डेटा को आगे और आगे भेज सकता है और बीच में बैठ सकता है। यह आपको चुपके से एक HTTP पृष्ठ पर रीडायरेक्ट कर सकता है और आपकी तरफ से HTTPS के साथ बैंक से कनेक्ट हो सकता है।
यह "होमोग्राफ-समान HTTPS पता" का भी उपयोग कर सकता है। यह एक ऐसा पता है जो स्क्रीन पर आपके बैंक के समान दिखता है, लेकिन जो वास्तव में विशेष यूनिकोड वर्णों का उपयोग करता है, इसलिए यह अलग है। इस आखिरी और डरावनी प्रकार के हमले को अंतर्राष्ट्रीयकृत डोमेन नाम होमोग्राफ हमले के रूप में जाना जाता है। यूनिकोड चरित्र सेट की जांच करें और आपको वर्ण मिलेगा जो मूल रूप से लैटिन वर्णमाला में उपयोग किए गए 26 वर्णों के समान दिखते हैं। हो सकता है कि आप जिस google.com से कनेक्ट हैं, वह वास्तव में ओ नहीं है, लेकिन अन्य पात्र हैं।
जब हमने सार्वजनिक वाई-फाई हॉटस्पॉट का उपयोग करने के खतरों को देखा तो हमने इसे अधिक विस्तार से कवर किया।
बेशक, एचटीटीपीएस ज्यादातर समय ठीक काम करता है। जब आप कॉफी शॉप में जाते हैं और अपने वाई-फाई से कनेक्ट होते हैं तो यह संभावना नहीं है कि आप इतनी चतुर मैन-इन-द-बीच हमले का सामना करेंगे। वास्तविक बिंदु यह है कि एचटीटीपीएस में कुछ गंभीर समस्याएं हैं। अधिकांश लोग इस पर भरोसा करते हैं और इन समस्याओं से अवगत नहीं हैं, लेकिन यह कहीं भी सही नहीं है।