पूछे जाने वाले प्रश्न
सार्वजनिक वाई-फाई का उपयोग करने वाले एक कैफे में, एक हमलावर एक गैर-सुरक्षित HTTP कनेक्शन के लिए उपयोगकर्ता के सुरक्षित HTTPS कनेक्शन को अवरोधन और डाउनग्रेड करके एक SSL स्ट्रिपिंग हमले का संचालन करता है, जिससे उन्हें लॉगिन क्रेडेंशियल जैसे संवेदनशील डेटा को कैप्चर करने और संभावित रूप से ऑनलाइन खातों तक अनधिकृत पहुंच प्राप्त करने की अनुमति मिलती है।
लिंक की प्रतिलिपि करें
SSL स्ट्रिपिंग एक प्रकार का मैन-इन-द-मिडिल अटैक है जो सुरक्षित HTTPS कनेक्शन को गैर-सुरक्षित HTTP कनेक्शन में डाउनग्रेड करके उपयोगकर्ता और वेबसाइट के बीच सुरक्षित संचार को लक्षित करता है।
लिंक की प्रतिलिपि करें
यह एक निश्चित उत्तर के बिना एक मिलियन डॉलर का प्रश्न है। मशहूर व्हिसलब्लोअर एडवर्ड स्नोडेन के मुताबिक एनएसए इस पर काम कर रहे हैं। न्यू यॉर्कर स्नोडेन के दावों और गार्जियन और न्यूयॉर्क टाइम्स द्वारा की गई जांच को संक्षेप में बताता है कि एनएसए ने वेब को क्रैक करने का प्रयास कैसे किया।
लिंक की प्रतिलिपि करें
SSLstrip और BEAST (SSL/TLS के खिलाफ ब्राउज़र एक्सप्लॉइट) जैसे टूल SSL/TLS कार्यान्वयन के खिलाफ विशिष्ट हमले करते हैं, लेकिन वे SSL एन्क्रिप्शन क्रैक नहीं हैं। दोनों एन्क्रिप्टेड संचार को बाधित करने या हेरफेर करने के लिए विशिष्ट एसएसएल / टीएलएस संस्करणों या कॉन्फ़िगरेशन में ज्ञात कमजोरियों का लाभ उठाते हैं। यह ध्यान रखना महत्वपूर्ण है कि ये उपकरण मुख्य रूप से अंतर्निहित एन्क्रिप्शन को सीधे क्रैक करने के बजाय प्रोटोकॉल कार्यान्वयन में कमजोरियों को लक्षित करते हैं।
लिंक की प्रतिलिपि करें
एसएसएल एन्क्रिप्शन को “क्रैक” नहीं किया गया है जहां तक मौलिक क्रिप्टोग्राफ़िक एल्गोरिदम का संबंध है। सुरक्षाछिद्र और हमले केवल तब होते हैं जब प्रमाणपत्र को अनुचित एसएसएल कॉन्फ़िगरेशन और प्रबंधन के दौरान धोखाधड़ी से जारी किया जाता है या समझौता किया जाता है।
लिंक की प्रतिलिपि करें
डिजिटल प्रमाणपत्र का सबसे विश्वसनीय प्रकार विस्तारित सत्यापन (EV) SSL प्रमाणपत्र है। EV प्रमाणपत्र एक कठोर सत्यापन प्रक्रिया से गुजरते हैं, जहां प्रमाणपत्र प्राधिकरण संगठन की पहचान और वैधता को सत्यापित करने के लिए पूरी तरह से जाँच करता है। इसमें कानूनी अस्तित्व, भौतिक स्थान और परिचालन स्थिति को मान्य करना शामिल है।
लिंक की प्रतिलिपि करें
आप अपने वेब ब्राउज़र के माध्यम से प्रमाणपत्र विवरण का निरीक्षण कर सकते हैं। उस वेबसाइट पर जाकर शुरू करें जिसके लिए आपके पास एसएसएल प्रमाणपत्र है। एक बार वेबसाइट पर, एड्रेस बार में पैडलॉक आइकन पर क्लिक करें। यह एसएसएल प्रमाणपत्र जानकारी प्रदर्शित करेगा। “प्रमाणपत्र” या “प्रमाणपत्र विवरण” विकल्प देखें और विवरण देखने के लिए उस पर क्लिक करें।
लिंक की प्रतिलिपि करें
एसएसएल प्रमाणपत्र के प्रकार बहुत मायने रखते हैं। जैसे डोमेन सत्यापन एसएसएल ई-कॉमर्स और वित्तीय वेबसाइटों के लिए उपयुक्त नहीं है, वैसे ही ब्लॉग या छोटे व्यवसाय के लिए प्रीमियम ईवी प्रमाणपत्र प्राप्त करने का कोई मतलब नहीं है। यदि आप नहीं जानते कि आपको किस प्रकार के प्रमाणपत्र की आवश्यकता है, तो अपनी विशिष्ट आवश्यकताओं और बजट के अनुरूप तत्काल अनुशंसाएँ प्राप्त करने के लिए SSL विज़ार्ड का उपयोग करें।
लिंक की प्रतिलिपि करें
यदि कोई प्रमाण पत्र स्व-हस्ताक्षरित है यह निर्धारित करने के लिए, प्रमाणपत्र विवरण में जारीकर्ता फ़ील्ड की जाँच करें। यदि जारीकर्ता विषय के समान है (या जारीकर्ता किसी विश्वसनीय CA द्वारा पहचाना नहीं गया है), तो यह संभवतः एक स्व-हस्ताक्षरित प्रमाणपत्र है।
लिंक की प्रतिलिपि करें
जबकि एक स्व-हस्ताक्षरित प्रमाणपत्र कुछ एन्क्रिप्शन प्रदान करता है, यह अभी भी एक विश्वसनीय सीए द्वारा जारी किए गए प्रमाण पत्र से कम सुरक्षित है। हालाँकि, एन्क्रिप्शन की आवश्यकता होने पर बिना किसी प्रमाणपत्र के स्व-हस्ताक्षरित प्रमाणपत्र होना बेहतर होता है।
लिंक की प्रतिलिपि करें