ब्राउज़र सर्टिफिकेट चेतावनियां का पालन करें DNS फ्लो के कारण

कुछ दिन पहले, मैंने लिखा है कि डोमेन नेम सर्विस (डीएनएस) प्रोटोकॉल में मौलिक दोष है जो मशीन-संसाधित इंटरनेट प्रोटोकॉल (आईपी) पते में मानव-पठनीय नामों से लुकअप को संभालता है, सभी पाठकों को उनकी भेद्यता को निर्धारित करने और कार्रवाई करने की सलाह देते हैं।

हालांकि मुझे एक और चेतावनी दी जानी चाहिए, हालांकि, क्योंकि यह दोष किसी ऐसे व्यक्ति के लिए DNS को जहर देने की अनुमति देता है, जिसका सिस्टम किसी अनपेक्षित डीएनएस सर्वर से जोड़ता है, एक हमलावर एन्क्रिप्टेड वेब सत्रों में संरक्षित सुरक्षा को बाईपास भी कर सकता है।

वेब एन्क्रिप्शन SSL / TLS (सुरक्षित सॉकेट लेयर / ट्रांसपोर्ट लेयर सुरक्षा), एक मानक जो यह सुनिश्चित करने के लिए तीन तरीकों पर निर्भर करता है कि आपका ब्राउज़र केवल एक सुरक्षित लिंक के लिए दूसरे पक्ष पर सही पार्टी को जोड़ता है।

[और पठन: मीडिया स्ट्रीमिंग और बैकअप के लिए सर्वश्रेष्ठ NAS बॉक्स]

सबसे पहले, प्रत्येक वेब सर्वर जो SSL / TLS का उपयोग करता है, उसके पास प्रमाण पत्र होना चाहिए, या तो एक सर्वर प्रति या एक समूह प्रमाणपत्र। यह प्रमाणपत्र सर्वर की पहचान करता है।

दूसरा, प्रमाणपत्र सर्वर के डोमेन नाम को बाइंड करता है। आप www.infoworld.com के लिए एक प्रमाण पत्र प्राप्त कर सकते हैं और इसे www.pcworld.com के साथ उपयोग कर सकते हैं।

तीसरा, किसी भी डोमेन नाम के प्रमाण पत्र का अनुरोध करने वाली पार्टी की पहचान प्रमाण पत्र प्राधिकारी द्वारा मान्य है एक ऐसी कंपनी जो संचालित करती है वह व्यक्ति और कंपनी की एक प्रमाण पत्र का अनुरोध करने वाली पहचान की पुष्टि करता है, और उसके बाद क्रिप्टोग्राफ़िक रूप से उसके आशीर्वाद के साथ प्रमाण पत्र बनाता है। (सत्यापन के उच्चतर स्तर अब उपलब्ध हैं, इसलिए आप इंटरनेट एक्सप्लोरर और फ़ायरफ़ॉक्स के नवीनतम संस्करणों के दायरे में स्थित एक बड़ा हरा क्षेत्र देखते हैं, जो दर्शाते हैं कि विस्तारित सत्यापन किया गया था।)

ये प्रमाणपत्र प्राधिकरणों को स्वयं उन प्रमाणपत्रों का सेट जो उनकी पहचान साबित करते हैं, और जो ब्राउज़र्स और ऑपरेटिंग सिस्टम में पूर्व-स्थापित हैं। जब आप किसी वेब सर्वर से कनेक्ट होते हैं, तो आपका ब्राउज़र एक सत्र शुरू करने से पहले सार्वजनिक प्रमाण पत्र प्राप्त करता है, यह पुष्टि करता है कि आईपी पता और डोमेन नाम मैच, प्रमाण पत्र की अखंडता को मान्य करता है, और उसके बाद उसकी वैधता के लिए प्राधिकारी हस्ताक्षर की जांच करता है।

यदि कोई परीक्षण विफल रहता है, आपको अपने ब्राउज़र द्वारा चेतावनी दी जाती है। DNS दोष के साथ, एक आक्रमणकारी आपके बैंकिंग या ईकॉमर्स सत्र को विभिन्न फर्मों द्वारा संचालित सुरक्षित साइटों के उनके नक़ल संस्करणों पर पुनर्निदेशित कर सकता है, और आपका ब्राउज़र आईपी पते के अंतर को ध्यान नहीं देगा, क्योंकि बोगस प्रमाण पत्र में डोमेन नाम आईपी से मेल खाता होगा पता है कि हमलावर ने लगाया था।

हालांकि, आपका ब्राउज़र यह नोट करेगा कि कोई विश्वसनीय प्रमाणपत्र प्राधिकारी हस्ताक्षर संलग्न नहीं है। (अब तक, इन अधिकारियों के किसी भी सफल सामाजिक इंजीनियरिंग की कोई रिपोर्ट नहीं है, जो DNS के दोष से बंधे हैं।) आपका ब्राउज़र आपको बताता है कि प्रमाणपत्र स्वयं-हस्ताक्षरित था, जिसका अर्थ है कि हमलावर ने एक शॉर्टकट का इस्तेमाल किया और एक प्राधिकारी के हस्ताक्षर को छोड़ दिया, या एक गैर-विश्वसनीय प्राधिकारी का इस्तेमाल किया, जो कि हमलावर ने स्वयं को स्वयं बनाया (यह ओपन सोर्स टूल्स का उपयोग कर एक प्राधिकरण बनाने के लिए तुच्छ है, और यह कंपनियों और संगठनों के लिए उपयोगी है I मैंने इसे स्वयं किया है। लेकिन उन स्वतंत्र अधिकारियों को ब्राउज़रों द्वारा मान्य नहीं किया जाता है, जब तक कि आप अलग-अलग मशीनों पर किसी प्रमाणपत्र को अलग से स्थापित नहीं करते ।)

मेरी चेतावनी यह है कि यदि आप अपने ब्राउज़र से कोई भी प्रमाण पत्र या SSL / TLS चेतावनी प्राप्त करते हैं, कनेक्शन को रोकें, अपने आईएसपी या आईटी विभाग को कॉल करें, और किसी भी व्यक्तिगत या कंपनी की जानकारी दर्ज न करें।