रूट सर्टिफिकेट
क्रिप्टोग्राफी और कंप्यूटर सुरक्षा में, रूट सर्टिफिकेट सार्वजनिक कुंजी सर्टिफिकेट है जो रूट सर्टिफिकेट प्राधिकारी (सीए ) की पहचान करता है।[1] रूट सर्टिफिकेट स्व-हस्ताक्षरित सर्टिफिकेट हैं (और यह संभव है कि सर्टिफिकेट में एकाधिक विश्वास पथ हों, मान लें कि यदि सर्टिफिकेट क्रॉस-हस्ताक्षरित रूट द्वारा जारी किया गया था) और X.509-आधारित सार्वजनिक कुंजी अवसंरचना ( पीकेआई) का आधार बनता है । या तो यह विषय कुंजी पहचानकर्ता के साथ प्राधिकरण कुंजी पहचानकर्ता से मेल खाता है, कुछ स्थितियों में कोई प्राधिकरण कुंजी पहचानकर्ता नहीं है, तो जारीकर्ता स्ट्रिंग को विषय स्ट्रिंग से मेल खाना चाहिए (RFC 5280). उदाहरण के लिए, सुरक्षित वेब ब्राउज़िंग और इलेक्ट्रॉनिक हस्ताक्षर योजनाओं के लिए एचटीटीपी सर्वर का समर्थन करने वाले पीकेआई [2]रूट सर्टिफिकेट के समूह पर निर्भर करते हैं।
सर्टिफिकेट प्राधिकारी पेड़ की संरचना के रूप में कई सर्टिफिकेट जारी कर सकती है। रूट सर्टिफिकेट पेड़ का सबसे ऊपर का सर्टिफिकेट होता है, निजी कुंजी जिसका उपयोग अन्य सर्टिफिकेट पर "हस्ताक्षर" करने के लिए किया जाता है। रूट सर्टिफिकेट द्वारा हस्ताक्षरित सभी सर्टिफिकेट , "सीए" फ़ील्ड को सही पर व्यवस्थित करने के साथ, रूट सर्टिफिकेट की विश्वसनीयता विरासत में मिलती है—रूट सर्टिफिकेट द्वारा किया गया हस्ताक्षर कुछ सीमा तक भौतिक दुनिया में नोटरीकरण पहचान के अनुरूप होता है। ऐसे सर्टिफिकेट को मध्यवर्ती सर्टिफिकेट या अधीनस्थ सीए सर्टिफिकेट कहा जाता है। पेड़ के नीचे के सर्टिफिकेट भी मध्यवर्ती की विश्वसनीयता पर निर्भर करते हैं।
रूट सर्टिफिकेट को सामान्यतः सर्टिफिकेट के अतिरिक्त किसी अन्य तंत्र द्वारा भरोसेमंद बनाया जाता है, जैसे कि सुरक्षित भौतिक वितरण। उदाहरण के लिए, कुछ सबसे प्रसिद्ध रूट सर्टिफिकेट ऑपरेटिंग सिस्टम में उनके निर्माताओं द्वारा वितरित किए जाते हैं। विंडोज डेस्कटॉप और विंडोज फोन 8 के लिए माइक्रोसॉफ्ट रूट सर्टिफिकेट प्रोग्राम माइक्रोसॉफ्ट के सदस्यों से संबंधित रूट प्रमाणपत्र वितरित करता है ।[2] एप्प्ल अपने स्वयं के सार्वजनिक कुंजी सर्टिफिकेट रूट प्रोग्राम के सदस्यों से संबंधित रूट सर्टिफिकेट वितरित करता है।
रूट सर्टिफिकेट के दुरुपयोग की घटनाएं
2011 का डिजीनोटर हैक
2011 में, नीदरलैंड सर्टिफिकेट प्राधिकरण डिजीनोटर को सुरक्षा भंग का सामना करना पड़ा। इसके कारण विभिन्न कपटपूर्ण सर्टिफिकेट जारी किए गए, जिनका ईरानी जीमेल उपयोगकर्ताओं को लक्षित करने के लिए दुरूपयोग किया गया। डिजीनोटर सर्टिफिकेट में भरोसा वापस ले लिया गया था और कंपनी के परिचालन प्रबंधन को डच सरकार ने अपने अधिकार में ले लिया था।
चीन इंटरनेट नेटवर्क सूचना केंद्र (सीए नएनआईसी) नकली सर्टिफिकेट जारी करना
2009 में, चीन इंटरनेट नेटवर्क सूचना केंद्र (सीएनएनआईसी) के कर्मचारी ने मोज़िला के रूट सर्टिफिकेट सूची में सीएनएनआईसी को जोड़ने के लिए मोज़िला पर आवेदन किया[3] और स्वीकृत किया गया था। बाद में, माइक्रोसॉफ्ट ने सीएनएनआईसी को विंडोज के रूट सर्टिफिकेट सूची में भी जोड़ा।
2015 में, कई उपयोगकर्ताओं ने सीएनएनआईसी द्वारा जारी किए गए डिजिटल सर्टिफिकेट पर भरोसा नहीं करना चुना क्योंकि सीएनएनआईसी द्वारा जारी मध्यवर्ती सीए को गूगल डोमेन नामों के लिए नकली सर्टिफिकेट जारी करने [4] और सीएनएनआईसी द्वारा प्रमाणपत्र जारी करने की शक्ति के दुरुपयोग के बारे में चिंता व्यक्त करने के लिए पाया गया था।[5]
2 अप्रैल 2015 को, गूगल ने घोषणा की कि वह सीएनएनआईसी द्वारा जारी किए गए इलेक्ट्रॉनिक सर्टिफिकेट को अब मान्यता नहीं देता है।[6][7][8] 4 अप्रैल को, गूगल का अनुसरण करते हुए, मोज़िला ने भी घोषणा की कि वह सीएनएनआईसी द्वारा जारी किए गए इलेक्ट्रॉनिक सर्टिफिकेट को अब मान्यता नहीं देता है।[9][10] अगस्त 2016 में, सीएनएनआईसी की आधिकारिक वेबसाइट ने स्वयं द्वारा जारी किए गए रूट सर्टिफिकेट को छोड़ दिया था और इसे डिजिकर्ट द्वारा जारी सर्टिफिकेट के साथ बदल दिया था।
वोसाइन और स्टार्टकॉम: नकली और बैकडेट सर्टिफिकेट जारी करना
2016 में, वोसाइन, किहू 360 [11] और इसकी इज़राइल राज्य की सहायक कंपनी स्टार्टकॉम के स्वामित्व वाला चीन का सबसे बड़ा सीए सर्टिफिकेट जारीकर्ता वोसाइन को गूगल द्वारा उनके सर्टिफिकेट की मान्यता से वंचित कर दिया गया था।
वोसाइन और स्टार्टकॉम ने केवल पांच दिनों में एक ही क्रमिक संख्या के साथ सैकड़ों सर्टिफिकेट जारी करने के साथ-साथ बैकडेट सर्टिफिकेट जारी करने का खुलासा किया।[12] वोसाइन और स्टार्टकॉम ने नकली GitHub सर्टिफिकेट भी जारी किया।[13]
माइक्रोसॉफ्ट ने 2017 में कहा था कि वे प्रासंगिक सर्टिफिकेट को ऑफ़लाइन हटा देंगे,[14] किन्तु फरवरी 2021 में उपयोगकर्ताओं ने अभी भी बताया कि वोसाइन और स्टार्टकॉम के सर्टिफिकेट अभी भी विंडोज 10 में प्रभावी थे और उन्हें केवल नियमावली रूप से ही निकाले जा सकते थे।[15]
यह भी देखें
संदर्भ
- ↑ "What Are CA Certificates?". Microsoft TechNet. 2003-03-28.
- ↑ 2.0 2.1 "Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)". Microsoft TechNet. October 2014.
- ↑ "476766 - Add China Internet Network Information Center (CNNIC) CA Root Certificate". bugzilla.mozilla.org (in English). Archived from the original on 2020-02-22. Retrieved 2020-01-03.
- ↑ "CNNIC发行的中级CA发行了Google的假证书". solidot. 2015-03-24. Archived from the original on 2015-03-26. Retrieved 2015-03-24.
- ↑ "最危险的互联网漏洞正在逼近". Archived from the original on 2015-11-21. Retrieved 2015-03-26.
- ↑ "सुरक्षा उल्लंघन के बाद Google ने चीन की वेबसाइट सर्टिफिकेट अथॉरिटी पर प्रतिबंध लगा दिया". No. April 2, 2015. Extra Crunch.
- ↑ "谷歌不再承認中國CNNIC頒發的信任證書". 華爾街日報. 2015-04-03. Retrieved 2015-04-03.
- ↑ "谷歌不再信任中国CNNIC 的网站信任证书". 美國之音. 2015-04-03. Retrieved 2015-04-03.
- ↑ "Google और मोज़िला ने चीनी प्रमाणपत्र प्राधिकरण CNNIC को क्रोम और फ़ायरफ़ॉक्स से प्रतिबंधित करने का निर्णय लिया". VentureBeat. April 2, 2015.
- ↑ "Mozilla紧随谷歌 拒绝承认中国安全证书". 美國之音. 2015-04-04. Retrieved 2015-04-04.
- ↑ "谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网". www.expreview.com. Retrieved 2020-01-03.
- ↑ "CA:WoSign Issues - MozillaWiki". wiki.mozilla.org. Retrieved 2020-01-03.
- ↑ Stephen Schrauger. "WoSign ने मुझे GitHub.com के लिए एक SSL प्रमाणपत्र कैसे दिया, इसकी कहानी". Schrauger.com.
- ↑ Microsoft Defender Security Research Team (2017-08-08). "Microsoft Windows 10 में WoSign और StartCom प्रमाणपत्रों को हटाने के लिए". Microsoft.
- ↑ "WoSign और StartCom के विषाक्त रूट-सीए प्रमाणपत्र अभी भी विंडोज 10 में सक्रिय हैं". Windows Phone Info.
