रूट सर्टिफिकेट
क्रिप्टोग्राफी और कंप्यूटर सुरक्षा में, रूट सर्टिफिकेट एक सार्वजनिक कुंजी प्रमाणपत्र है जो रूट प्रमाणपत्र, प्राधिकारी (सीए) की पहचान करता है।[1] रूट सर्टिफिकेट स्व-हस्ताक्षरित प्रमाणपत्र हैं। स्व-हस्ताक्षरित (और यह संभव है कि प्रमाणपत्र में कई ट्रस्ट पथ हों, यदि प्रमाणपत्र रूट द्वारा जारी किया गया था जो क्रॉस-हस्ताक्षरित था) और X.509 का आधार बनता है- आधारित सार्वजनिक कुंजी अवसंरचना (पीकेआई)। या तो यह विषय कुंजी पहचानकर्ता के साथ प्राधिकरण कुंजी पहचानकर्ता से मेल खाता है, कुछ मामलों में कोई प्राधिकरण कुंजी पहचानकर्ता नहीं है, तो जारीकर्ता स्ट्रिंग को विषय स्ट्रिंग से मेल खाना चाहिए (RFC 5280). उदाहरण के लिए, पीकेआई HTTP सर्वर का समर्थन करता है[2]सुरक्षित वर्ल्ड वाइड वेब ब्राउज़िंग और इलेक्ट्रॉनिक हस्ताक्षर योजनाओं के लिए रूट प्रमाणपत्रों के एक सेट पर निर्भर करते हैं।
एक सर्टिफिकेट अथॉरिटी पेड़ की संरचना के रूप में कई सर्टिफिकेट जारी कर सकती है। रूट सर्टिफिकेट ट्री का सबसे ऊपर का सर्टिफिकेट होता है, प्राइवेट की जिसका इस्तेमाल दूसरे सर्टिफिकेट पर हस्ताक्षर करने के लिए किया जाता है। रूट प्रमाणपत्र द्वारा हस्ताक्षरित सभी प्रमाणपत्र, CA फ़ील्ड को सही पर सेट करने के साथ, रूट प्रमाणपत्र की विश्वसनीयता विरासत में मिलती है—रूट प्रमाणपत्र द्वारा किया गया हस्ताक्षर कुछ हद तक भौतिक दुनिया में नोटरी पहचान के अनुरूप होता है। ऐसे प्रमाणपत्र को मध्यवर्ती प्रमाणपत्र या सबऑर्डिनेट CA प्रमाणपत्र कहा जाता है। पेड़ के नीचे के प्रमाण पत्र भी मध्यवर्ती की विश्वसनीयता पर निर्भर करते हैं।
रूट सर्टिफिकेट को आमतौर पर सर्टिफिकेट के अलावा किसी अन्य तंत्र द्वारा भरोसेमंद बनाया जाता है, जैसे कि सुरक्षित भौतिक वितरण। उदाहरण के लिए, कुछ सबसे प्रसिद्ध रूट प्रमाणपत्र ऑपरेटिंग सिस्टम में उनके निर्माताओं द्वारा वितरित किए जाते हैं। Microsoft, Microsoft रूट प्रमाणपत्र प्रोग्राम के सदस्यों से संबंधित रूट प्रमाणपत्रों को Windows डेस्कटॉप और Windows 8 फ़ोन पर वितरित करता है।[2] Apple अपने स्वयं के सार्वजनिक कुंजी प्रमाणपत्र#रूट प्रोग्राम के सदस्यों से संबंधित रूट प्रमाणपत्र वितरित करता है।
रूट प्रमाणपत्र के दुरुपयोग की घटनाएं
2011 का डिजीनोटर हैक
2011 में, नीदरलैंड प्रमाणपत्र प्राधिकरण DigiNotar को सुरक्षा भंग का सामना करना पड़ा। इसके कारण विभिन्न कपटपूर्ण प्रमाणपत्र जारी किए गए, जिनका ईरानी जीमेल उपयोगकर्ताओं को लक्षित करने के लिए दुरूपयोग किया गया। DigiNotar प्रमाणपत्रों में भरोसा वापस ले लिया गया था और कंपनी के परिचालन प्रबंधन को डच सरकार ने अपने कब्जे में ले लिया था।
चीन इंटरनेट नेटवर्क सूचना केंद्र (सीएनएनआईसी) नकली प्रमाणपत्र जारी करना
2009 में, चीन इंटरनेट नेटवर्क सूचना केंद्र (CNNIC) के एक कर्मचारी ने Mozilla के रूट प्रमाणपत्र सूची में CNNIC को जोड़ने के लिए Mozilla पर आवेदन किया[3] और स्वीकृत किया गया था। बाद में, Microsoft ने CNNIC को विंडोज के रूट सर्टिफिकेट लिस्ट में भी जोड़ा।
2015 में, कई उपयोगकर्ताओं ने CNNIC द्वारा जारी किए गए डिजिटल प्रमाणपत्रों पर भरोसा नहीं करना चुना क्योंकि CNNIC द्वारा जारी एक मध्यवर्ती CA को Google डोमेन नामों के लिए नकली प्रमाणपत्र जारी करने के लिए पाया गया था।[4] और CNNIC द्वारा प्रमाणपत्र जारी करने की शक्ति के दुरुपयोग के बारे में चिंता व्यक्त की।[5] 2 अप्रैल 2015 को, Google ने घोषणा की कि वह CNNIC द्वारा जारी किए गए इलेक्ट्रॉनिक प्रमाणपत्र को अब मान्यता नहीं देता है।[6][7][8] 4 अप्रैल को, Google का अनुसरण करते हुए, मोज़िला ने भी घोषणा की कि वह CNNIC द्वारा जारी किए गए इलेक्ट्रॉनिक प्रमाणपत्र को अब मान्यता नहीं देता है।[9][10] अगस्त 2016 में, CNNIC की आधिकारिक वेबसाइट ने स्वयं द्वारा जारी किए गए रूट प्रमाणपत्र को छोड़ दिया था और इसे DigiCert द्वारा जारी प्रमाणपत्र के साथ बदल दिया था।
WoSign और StartCom: नकली और बैकडेट प्रमाणपत्र जारी करना
2016 में, WoSign, Qihoo 360 के स्वामित्व वाला चीन का सबसे बड़ा CA प्रमाणपत्र जारीकर्ता[11] और इसकी इज़राइल राज्य की सहायक कंपनी StartCom को Google द्वारा उनके प्रमाणपत्रों की मान्यता से वंचित कर दिया गया था।
WoSign और StartCom ने केवल पांच दिनों में एक ही क्रमांक के साथ सैकड़ों प्रमाणपत्र जारी करने के साथ-साथ बैकडेट प्रमाणपत्र जारी करने का खुलासा किया।[12] WoSign और StartCom ने नकली GitHub प्रमाणपत्र भी जारी किया।[13] Microsoft ने भी 2017 में कहा था कि वे प्रासंगिक प्रमाणपत्रों को ऑफ़लाइन हटा देंगे,[14] लेकिन फरवरी 2021 में उपयोगकर्ताओं ने अभी भी बताया कि WoSign और StartCom के प्रमाणपत्र अभी भी विंडोज 10 में प्रभावी थे और उन्हें केवल मैन्युअल रूप से हटाया जा सकता था।[15]
यह भी देखें
संदर्भ
- ↑ "What Are CA Certificates?". Microsoft TechNet. 2003-03-28.
- ↑ 2.0 2.1 "Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)". Microsoft TechNet. October 2014.
- ↑ "476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate". bugzilla.mozilla.org (in English). Archived from the original on 2020-02-22. Retrieved 2020-01-03.
- ↑ "CNNIC发行的中级CA发行了Google的假证书". solidot. 2015-03-24. Archived from the original on 2015-03-26. Retrieved 2015-03-24.
- ↑ "最危险的互联网漏洞正在逼近". Archived from the original on 2015-11-21. Retrieved 2015-03-26.
- ↑ "सुरक्षा उल्लंघन के बाद Google ने चीन की वेबसाइट सर्टिफिकेट अथॉरिटी पर प्रतिबंध लगा दिया". No. April 2, 2015. Extra Crunch.
- ↑ "谷歌不再承認中國CNNIC頒發的信任證書". 華爾街日報. 2015-04-03. Retrieved 2015-04-03.
- ↑ "谷歌不再信任中国CNNIC 的网站信任证书". 美國之音. 2015-04-03. Retrieved 2015-04-03.
- ↑ "Google और मोज़िला ने चीनी प्रमाणपत्र प्राधिकरण CNNIC को क्रोम और फ़ायरफ़ॉक्स से प्रतिबंधित करने का निर्णय लिया". VentureBeat. April 2, 2015.
- ↑ "Mozilla紧随谷歌 拒绝承认中国安全证书". 美國之音. 2015-04-04. Retrieved 2015-04-04.
- ↑ "谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网". www.expreview.com. Retrieved 2020-01-03.
- ↑ "CA:WoSign Issues - MozillaWiki". wiki.mozilla.org. Retrieved 2020-01-03.
- ↑ Stephen Schrauger. "WoSign ने मुझे GitHub.com के लिए एक SSL प्रमाणपत्र कैसे दिया, इसकी कहानी". Schrauger.com.
- ↑ Microsoft Defender Security Research Team (2017-08-08). "Microsoft Windows 10 में WoSign और StartCom प्रमाणपत्रों को हटाने के लिए". Microsoft.
- ↑ "WoSign और StartCom के विषाक्त रूट-सीए प्रमाणपत्र अभी भी विंडोज 10 में सक्रिय हैं". Windows Phone Info.
