HTTPS तथा एसएसएल वेब सुरक्षित करने के लिए प्रयुक्त प्रोटोकॉल हैं। वास्तव में, चीजें करने के लिए एचटीटीपीएस एसएसएल का उपयोग करता है। इन प्रोटोकॉल के साथ पूरा विचार यह सुनिश्चित करना है कि कोई भी वेब पर यात्रा करने वाले महत्वपूर्ण डेटा पर नजर रखे। हालांकि, चीजें ऐसा नहीं लगती हैं, क्योंकि, सच में, एसएसएल एक गड़बड़ है।
इसे मोड़ न लें, इसका मतलब यह नहीं है कि एसएसएल और एचटीटीपीएस एन्क्रिप्शन वेब पर उपयोगकर्ताओं के लिए बेकार हैं। उनके पास उनकी समस्याएं हैं, लेकिन दोनों संभवतः HTTP से कहीं अधिक बेहतर हैं।
एचटीटीपीएस और एसएसएल के साथ समस्याएं
मध्य हमलों में आदमी
कुछ अजीब कारणों से, मध्य हमलों में मैन एसएसएल के साथ अभी भी संभव है। अवधारणा सरल है; उपयोगकर्ताओं को सार्वजनिक वाई-फाई पर अपने बैंक की वेबसाइट से कनेक्ट करने में सक्षम होना चाहिए क्योंकि कनेक्शन सुरक्षित है, इसलिए, हमलावरों को पर्ची के माध्यम नहीं मिलना चाहिए।
इस फ़ॉर्म के माध्यम से एक हमला उपयोगकर्ता को एक HTTP वेबसाइट पर रीडायरेक्ट कर सकता है जो एक सुरक्षित व्यक्ति के समान दिखता है, और वहां से, हमलावरों को बहुमूल्य जानकारी चोरी करने की उम्मीद में टर्मिनलों की स्थापना की जाएगी।
बहुत सारे प्रमाण पत्र प्राधिकरण
आपके वेब ब्राउज़र में अंतर्निहित प्रमाणपत्र प्राधिकरणों की एक सूची है। सभी वेब ब्राउज़र केवल अंतर्निहित लोगों द्वारा जारी प्रमाणपत्रों पर भरोसा करते हैं। क्या उपयोगकर्ताओं को एसएसएल का उपयोग करके सुरक्षित वेबसाइट पर जाना चाहिए, यह एक प्रमाण पत्र जारी करेगा, और वेब ब्राउज़र यह जांचने के लिए आगे बढ़ेगा कि वेबसाइट यह सुनिश्चित करने के लिए कि प्रमाण पत्र उस विशेष पृष्ठ से आने के लिए डिज़ाइन किया गया था या नहीं।
यहां बात है, क्योंकि बहुत से प्रमाण पत्र प्राधिकरण हैं, एक प्रमाणपत्र के साथ समस्याएं सभी को प्रभावित कर सकती हैं। यह कभी अच्छा नहीं है, और अब तक, इसके बारे में बहुत से वेबमास्टर्स नहीं कर सकते हैं।
प्रमाणपत्र प्राधिकरण फर्जी प्रमाण पत्र जारी करते हैं
अविश्वसनीय रूप से, नकली प्रमाण पत्र वहां हैं और वेब उपयोगकर्ताओं के लिए समस्याएं पैदा कर रहे हैं। और यहां तक कि Google और अन्य कंपनियां भी अतीत में शिकार कर चुकी हैं।
सरकार या अन्य लोगों के पास आधिकारिक Google पेज का प्रतिरूपण करने के लिए इस दुष्ट प्रमाण पत्र का उपयोग करने की क्षमता थी, जिससे मध्य हमले में एक आदमी को निष्पादित करना संभव हो गया था। अपनी रक्षा में, एएनएसएसआई ने दावा किया कि प्रमाणपत्र अपने उपयोगकर्ताओं पर जासूसी करने के लिए बनाया गया था, और इस तरह, फ्रेंच सरकार के पास इसका कोई उपयोग नहीं था।
कुछ प्रमाण पत्र कभी-कभी असफल हो जाते हैं
अतीत में किए गए अध्ययनों के मुताबिक, सर्टिफिकेट देने पर कुछ प्रमाण पत्र प्राधिकरण विफल रहे हैं। इसका मतलब है, कुछ वेबसाइटों को प्रमाणपत्र की आवश्यकता नहीं हो सकती है, लेकिन प्राधिकरण इसे वैसे भी वितरित करता है। यदि यह नियमित आधार पर किया जा रहा है, तो कोई केवल छवि ही बना सकता है कि अन्य गलतियों को क्या किया गया है और अभी भी बनाया जा रहा है।
