سمت سیکیورٹی سرٹیفکیٹ ایس ایس ایل کی وشوسنییتا کا سوال اٹھاتا ہے

صارفین کے طور پر، ہم اپنے براؤزر کے ایڈریس بار پر ظاہر ہونے والے پیڈل آئیکن پر اعتماد کرنے کے لئے سکھایا گیا ہے. ہمیں یہ بتایا گیا ہے کہ یہ ایک نشانی ہے جو ہماری ویب سائیٹ کے ذریعہ محفوظ ہے. لیکن یہ واقعہ گوگل اور ترکی کے سیکورٹی کمپنی سے منسلک ہونے والا ایک واقعہ اس خیال کو مسترد کرتی ہے.

کمپنی، ترک ٹاسک نے اس ہفتے کو بتایا کہ اگست 2011 میں اس نے دو ماسٹ کی چابیاں دو "اداروں" تک جاری کی ہیں. ماسٹر چابیاں، جو انٹرمیڈیٹیٹ سرٹیفکیٹ کہتے ہیں، کو اجازت دیتا ہے کہ اداروں کو انٹرنیٹ پر کسی بھی ڈومین کے لئے ڈیجیٹل سرٹیفکیٹ بنائے جائیں.

ڈیجیٹل سرٹیفکیٹ اصل میں ایک ویب سائٹ کی توثیق کرنے کے لئے استعمال کردہ خفیہ کاری کی چابیاں ہیں. اپنے بینک کے لئے سرٹیفکیٹ، مثال کے طور پر، اپنے براؤزر کو تصدیق کرتا ہے کہ آپ اصل میں اپنے بینک سے بات کرتے وقت آن لائن بینکنگ کرتے ہیں.

[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

سرٹیفکیٹ استعمال کیا جاتا ہے آپ اور ایک ویب سائٹ کے درمیان معلومات کو خفیہ کرنے کے لئے بھی. یہی ہے کہ آپ کے براؤزر کے ایڈریس بار پر سبز پیڈ کا مطلب ہے. براؤزر اس کی صداقت کی توثیق کے بعد، سیکورٹ ساکٹ کی پرت کے ذریعے ویب سائٹ سے بات چیت کر رہا ہے.

ایک باگیر سرٹیفکیٹ کے ساتھ ایک انٹرنیٹ کے بدعنوانی جو آپ اور ایک قابل اعتماد ویب سائٹ کے درمیان مواصلات کو روک سکتا ہے، اپنے براؤزر کو اپنے قابل اعتماد طریقے سے باہمی سائٹ پر منسلک کرسکتا ہے. اور آپ کے مواصلات کو ہجرت کرنا. چور کو آپ کے اور قابل اعتماد سائٹ کے درمیان بیٹھا ہے کیونکہ اس نے "درمیانی حملے میں انسان" کہا ہے.

غلطی طے کی گئی، مسئلہ جاری ہے

ٹاسسٹسٹ کی غلطی گوگل کی طرف سے کرسمس کے موقع پر کرسمس کی طرف سے دریافت کی گئی تھی جس میں اس کے کروم براؤزر میں پلیٹ فارم جو گوگل پر سرخ پرچم اٹھاتا ہے جب کسی پلیٹ فارم کو غیر مجاز سرٹیفکیٹ کے ساتھ استعمال کرنے کی کوشش کرتا ہے.

سرٹیفکیٹ کے مسئلے کو تلاش کرنے کے بعد، گوگل نے حال ہی میں مائیکروسافٹ اور موزیلا، جس نے اپنے براؤزر پلیٹ فارمز میں ترمیم کی ہے، انٹرمیڈیٹ سرٹیفکیٹ اتھارٹی کے ساتھ تخلیق کردہ روگ سرٹیفکیٹس کو روکنے کے لئے.

یہ سرٹیفکیٹ سلفاف صرف ایک تازہ ترین نشانی ہے جس میں ڈیجیٹل سرٹیفکیٹ جاری کرنے کا موجودہ نظام ملنے کی ضرورت ہے. مارچ 2011 میں، مثال کے طور پر، سرٹیفکیٹ جاری کرنے والے اتھارٹی سے منسلک ایک کمپنی کومڈوڈو کو منسلک کیا گیا تھا اور 9 بوگ سرٹیفکیٹ جاری کئے گئے تھے.

سال میں بعد میں، ہیکرز نے ڈچ سرٹیفکیٹ اتھارٹی، ڈی Digiotar، اور درجنوں باگس سرٹیفکیٹ جاری کیے. گوگل. اس واقعہ کے نتیجے میں کمپنی کو کاروبار سے باہر رکھ دیا گیا.

مطلوب: اگلے جین سیکورٹی

سرٹیفکیٹ کے ارد گرد سیکورٹی کے مسائل کو حل کرنے کے لئے کئی تجاویز پیش کی گئیں.

وہاں کنورجینس. یہ ایک براؤزر کو صارف کے ذریعہ منتخب شدہ ذریعہ سے کسی سرٹیفکیٹ کے بارے میں دوسری رائے حاصل کرنے کی اجازت دیتا ہے. "یہ ایک شاندار خیال ہے، لیکن جیسے ہی آپ کو ایک کارپوریٹ نیٹ ورک پر ملتا ہے اور آپ پراکسی یا نیٹ ورک مترجم کے پیچھے ہیں تو، یہ توڑ سکتا ہے،" سوفس کے سیکورٹی مشیر چیٹ ویسنیویس نے ایک انٹرویو میں کہا.

وہاں DNSSEC ہے. یہ ڈومین نام دینے کے حل کے نظام کا استعمال کرتا ہے - صارف اور ویب سائٹ کے درمیان ایک قابل اعتماد لنک بنانے کے لئے نمبروں میں ویب سائٹس کے عام ناموں کا نظام بدل جاتا ہے. ویسنویشی نے کہا، "نہ صرف نظام یہ سمجھنے میں آسان نہیں ہے، لیکن عمل درآمد سال لگ سکتا ہے."

"ڈی این ایس ایس ای سی کے ساتھ مسئلہ یہ ہے کہ ہم اس سے فائدہ اٹھانے سے قبل نئی ٹیکنالوجی کو لاگو کرنے اور انفراسٹرکچر کے ایک اعلی درجے کی اپ گریڈ کی ضرورت ہے." "اپنانے کی شرح کے ساتھ ہم نے ابھی تک دیکھا ہے کہ اس کا مطلب دس یا 15 سال تک ہمارے پاس حل نہیں ہوگا. یہ کافی اچھا نہیں ہے."

تجویز کردہ دو "پینٹنگ" کی تکنیک بھی شامل ہیں - عوامی کلیدی پنٹنگ سرٹیفکیٹ کلیدیوں (TACK) کے لئے HTTP اور معتبر اثاثوں کے لئے توسیع، اسی طرح ہیں.

وہ ایک ویب سائٹ کو اجازت دیتا ہے کہ وہ HTTP ہیڈر کو ترمیم کرنے کے لئے سرٹیفکیٹ حکام کو تسلیم کرے. ایک براؤزر اس معلومات کو ذخیرہ کرے گا اور صرف ایک ویب سائٹ سے کنکشن قائم کرے گا اگر یہ ویب سائٹ کی طرف سے قابل اعتبار سرٹیفکیٹ کے ذریعہ دستخط کردہ سرٹیفکیٹ حاصل کرے.

ویسنیویسی کے مطابق، پنٹنگ پروپوزل کی گذارش سرٹیفکیٹ کے مسئلے کو حل کرنے کے لئے سب سے زیادہ امکان ہے. انہوں نے کہا کہ "وہ مختصر حکم میں اپنایا جا سکتا ہے." "وہ ایسے لوگوں کی اجازت دیتے ہیں جو اعلی درجے کی سلامتی سے فائدہ اٹھانا چاہتے ہیں، لیکن ایسا کوئی موجودہ ویب براؤزر نہیں توڑتا ہے جسے اپ ڈیٹ نہیں کیا جارہا ہے."

جو بھی منصوبہ براؤزر سازی سرٹیفکیٹ کے مسئلے کو حل کرنے کا اختیار کرتے ہیں وہ جلد ہی کرو دوسری صورت میں، سنوفس انٹرنیٹ پر بڑھتی ہوئی اور پر اعتماد جاری رکھے گی. بے نظیر طور پر نقصان پہنچا سکتا ہے.