මොකක්ද මේ https, SSL කියන්නේ?

හැමදාම වගේ ලෝකේ හැම කෙළවරකින් ම අන්තර්ජාලය හරහා තොරතුරු සොරාගත් අවස්ථා පිළිබඳව වාර්තා වෙනවා. මේවායෙන් ස්වල්පයක් සමාජ ජාල හෝ පුවත් වෙබ් අඩවිවල පළවීම නිසා ප්‍රසිද්ධියට පත්වන නමුත් බොහොමයක් ඒවා එක ම ආකාරයේ නිසා නවමු පුවතක් ලෙස ලොවට හෙළිදරව් වෙන්නේ නැහැ. මෑතකදී එසේ දැනගන්නට ලැබුණු දෙයක් තමයි රැන්සම්වෙයා කියන්නේ. මේ බොහෝ අකරතැබ්බ සිදු වුණේ ‘සමාජයීය ඉංජිනේරු ශිල්පය’ එහෙමත් නැත්නම්, සාමාන්‍ය මනුෂ්‍ය හැසිරීම් පටිපාටිය හඳුනාගැනීම හරහා නොමඟ යැවීමට භාවිතා කරන ලද ක්‍රමශිල්ප හේතුවෙනුයි.

ඔබ ගීතයක් නොමිලේ හොර පාරෙන් ඩවුන්ලෝඩ් කරගන්නට යනවා නම් ඔබට “ක්ලික් කරන්න” කියලා විධාන දෙන බොත්තම් දහයක් විතර වෙබ් අඩවිවල දකින්නට ලැබෙනවා. මෙන්න මේවායෙන් වැරදි එකක් ඔබන්නට ඔබව පොළඹවා ගන්නට වෙළඳ දැන්වීම් ප්‍රචාරකයෙක් හෝ හැකර්වරයෙක් සමත් වුණොත් දුක්ඛාන්තයක ආරම්භය එය යි. හැබැයි මේ තොරතුරු සොරාගැනීම් වළක්වා ගන්නට නම් ඔබ https සහ SSL පිළිබඳව දැන සිටීම වටිනවා. ඔබ මොහොතකට ලිපියෙන් ඇස ඉවතට අරගෙන බ්‍රවුසරයේ අපේ වෙබ් අඩවි URL එක තිබෙන නැවිගේෂන් තීරය දිහා බැලුවොත් පෙනේවි කොළපාට ලොක් එකක්. මේ ලිපිය එහි තිරය පිටුපස කථාවයි.

SSL කියන්නේ මොකක්ද?

මේ අකුරු තුනෙන් කියැවෙන්නේ ආරක්ෂිත සම්බන්ධතා ස්ථරය (Secure Sockets Layer) යන්න යි.

අන්තර්ජාලයේ ස්ථාන දෙකක් අතර ආරක්ෂිත සහ ගුප්ත කේතිත (encrypted) සබඳතාවක් ඇති කරන්නට මෙය සමත් වෙනවා. පසුකාලීනව වඩාත් දියුණුවක් ලබමින් SSL/TLS හෙවත් ප්‍රවාහන ස්ථර ආරක්ෂණය (Transport Layer Security) නම් වූ TLS ලෙස කොටසක් ද එක්ව නම සකසන ලද නමුත් භාවිතයේ සහ උච්චාරණයේ පහසුව සඳහා තවමත් භාවිතා කරන්නේ SSL යන්න පමණ යි.

සාමාන්‍යයෙන් බහුතරයක් වෙබ් අඩවිවලට අපි පිවිසීමේදී එහි භාවිතා වන ප්‍රොටොකෝලය වන http (HyperText Transfer Protocol) යන්න යි. සිංහලෙන් අවශ්‍ය ම නම් අධි-ලේඛන හුවමාරු මූලලේඛය කියලා කියන්න පුළුවන්. මෙහිදී අන්තර්ජාලයේ ස්ථාන දෙකක් – ඔබ සහ සර්වරය – අතර තොරතුරු හුවමාරු වන්නේ ඒවා පවතින ආකාරයෙන් ම යි. මේ නිසා තෙවන පාර්ශවයකට මේ සබඳතාවට පිවිසී තොරතුරු ඒ ආකාරයෙන් ම ලබාගන්නට හැකියාව ලැබෙනවා. උදාහරණයක් විධියට, ඔබ කෙනෙක් එක්ක සිංහලෙන් කථා කළොත් සිංහල දන්න තවත් ම කෙනෙක්ට එය හොරෙන් අහගෙන ඉඳලා තේරුම් ගන්න පුළුවන්.

ගුප්ත කේතනය

සබඳතාවක SSL අඩංගු වුණා ම තත්ත්වය බොහොම වෙනස්. SSLවල ඉහත සඳහන් කළා වගේ කොටස් දෙකක් තිබෙනවා. ආරක්ෂාව සහ ගුප්ත කේතනය. පෙර උදාහරණයේදී ඇතිවූ ප්‍රශ්නය නැති කරගන්නට අපිට ගුප්ත කේතනය බෙහෙවින් උපකාරී වෙනවා. ඇති දේ ඇති සැටියෙන් නොකියා දෙඅන්තයන්ට පමණක් තේරුම් ගත හැකි සේ එය වෙනත් ම ආකාරයකට පෙරළා අදහස් හුවමාරු කළා නම් තෙවන පාර්ශවයකට එය තේරුම් ගැනීම අපහසු වෙනවා. ඔබ ROAR කියා කියන්නට අවශ්‍ය නම් විකේතන යතුර ලෙස “2” තබාගෙන සරල ගුප්ත කේතනය සිදුකරනවා නම් අකුරු දෙක බැගින් ඉදිරියට ගෙන යමින් TQCT ලෙස පණිවිඩය යැවිය හැකි අතර, විකේතන යතුර දන්නේ ඔබ සහ අනෙක් කෙනා පමණක් නිසා මධ්‍යයේ සිටින කෙනාට මෙය කුමක්දැයි හිතාගන්නට බැරි වෙනවා.

ආරක්ෂාව

ඔබ වෙබ් අඩවියකට පිවිසීමේදී ඒ වෙබ් අඩවිය ඔබට පිවිසීමට අවශ්‍ය වූ වෙබ් අඩවිය ම දැයි දැනගන්නේ කොහොමද? සරලව හිතෙන්න පුළුවන් domain එක බැලුවා ම හරි කියලා. එ්ත් Phishing නම් රැවටුම් ක්‍රමවේදයේදී ඒක හරියන්නේ නැහැ. ඉතා ම ආසන්න වශයෙන් බැලු බැල්මට සමාන ලෙස පෙනෙන ඩොමේන් භාවිතා කරමින් පරිශීලකයන් නොමග යවන මෙම ක්‍රමයට දැන් යුනිකෝඩ් ඩොමේන් ද භාවිතා කරමින් අති සූක්ෂ්මව දත්ත සොරගනු ලබනවා.

ඔබට ෆේස්බුක් යන්න අවශ්‍ය නම් facebook.com වෙත පිවිසිය යුතු වෙනවා. ඒත්, උදාහරණයක් වශයෙන් facebok.com වෙත වැරදිලා ටයිප් වෙලා හෝ වෙනත් වෙබ් අඩවියක තිබුණු ලින්ක් එකකින් පිවිසුණහොත් එම ඩොමේන් එක අයිති හැකර්වරයෙකුට ෆේස්බුක් මුල් පිටුව ආකාරයේ ම වෙබ් පිටුවක් දර්ශනය කොට ඔබ ඊට ඇතුලත් කරන සත්‍ය ෆේස්බුක් පරිශීලක නාමය සහ මුරපදය ගබඩා කරගෙන ඔබේ ගිණුමට පිවිසීමට මඟ පාදාගන්නට හැකියාව තිබෙනවා. මේ වන විට facebok.com යන ඩොමේන් නාමය ෆේස්බුක් සමාගම විසින් තම යටතට ගැනීමට කටයුතු කර තිබෙන නිසා ගැටළුවක් නැහැ. ඒත් සුවිසල් අන්තර්ජාලයේ තිබෙන එක ම ඩොමේන් එක එය පමණක් නොවෙයි.

මෙවන් අවස්ථාවලදී තෙවන පාර්ශවයක් කෙසේ වෙතත් ඔබට ඔබ අමතන්නේ හරි කෙනාටදැයි දැනගන්නට අවශ්‍ය වෙනවා. මෙහෙම හිතමු. ඔබ බැංකුවක අයකැමි වරයෙක් ලෙස සිටියදී ගිණුමකින් මුදල් ගන්නට කෙනෙක් පැමිණෙනවා. ඒත් මේ කෙනා අදාල ගිණුම අයිති කෙනාමදැයි සැක හැර ‘පහසුවෙන්’ දැනගන්නේ කොහොමද? ඔබට ඒ පුද්ගලයාගේ නිවසට ගිහින් ලිපිනය පරීක්ෂා කරලා, ඒ අවට අයගෙන් වතගොත අහලා ඉතිහාසය හොයාගෙන ඔහුව හඳුනාගන්නට ගියොත් බැංකුවේ වෙනත් වැඩක් කරන්නට බැරි වෙනවා. මේ නිසා රජය වැනි විශ්වාසවන්ත පාර්ශවයක් විසින් නිකුත් කළ හැඳුනුම්පතක් තිබෙනවා නම් ‘පහසුවෙන්’ සත්‍යාපනය කොට මුදල් නිකුත් කරන්නට පුළුවන්. SSL සඳහාත් මෙලෙස විවිධ මට්ටම් වල සහතිකපත් නිකුත් කරන ආයතන තිබෙනවා.

SSL දැන් නොමිලේ ලැබෙනවා

SSL පිළිබඳව පුද්ගල අවබෝධය වර්ධනය කිරීමටත්, පිවිසීමක් (login) ඇති කුඩා වෙබ් අඩවිවලට පවා තම පරිශීලකයන්ගේ දත්ත ආරක්ෂා කරගැනීමට අවස්ථාව ලබාදීමටත්, ගුප්ත කේතිත සන්නිවේදනයක් පවත්වා ගැනීමට සඳහා උපකාර වීම පිණිසත් මොසිල්ලා පදනම, ලිනක්ස් පදනම, ගූගල් සමාගම, ෆේස්බුක්, සිස්කෝ ඇතුළු සමාගම් රැසක් එක්ව Let’s Encrypt නමින් නොමිලේ SSL සහතිකපත් ඕනෑම කෙනෙක්ට ලබාගෙන තම වෙබ් අඩවියට යොදා හැකි ආකාරයේ සේවාවක් 2016 දී හඳුන්වා දුන්නා.

ඇල්ෆබට් සමාගම විසින් ද තම ගූගල් සෙවුම තුළ SSL සහිත වෙබ් අඩවි අනෙකුත් ප්‍රතිඵල අතර ඉහළින් පෙන්වීමට කටයුතු කරනු ලබනවා.

සහතිකපත විශ්වාස කරන්නේ කොහොමද?

ඉතින් මේ විධියට හැමෝටම නොමිලේ, හිතුමතේ SSL දාන්න පුළුවන් නම් අපිට වෙබ් අඩවිවල විශ්වාසය පිළිබඳව නැවතත් ගැටළුවක් මතු වෙනවා. අන්න එතනදී, සහතිකපත් සඳහා ශ්‍රේණිගත කිරීමේ ක්‍රමවේදය වැදගත් වෙනවා.

සාමාන්‍යයෙන් මෙලෙස අවම ශ්‍රේණිගත මට්ටම සහිත සහතිකපතක් යෙදූ වෙබ් අඩවියක අපිට දකින්න ලැබෙන දේවල් තමයි domain එකට ඉදිරියෙන් කොළ පැහැයෙන් https ප්‍රොටෝකෝලය, අගුළු ලකුණ සමඟ “Secure” යන වචනය. මෙමගින් කියවෙන්නේ හුදෙක් මෙම වෙබ් අඩවිය සඳහා යැවෙන දත්ත තෙවන පාර්ශවයකට ගැනීමට අවස්ථාවක් නොමැති බව යි. එනමුත් ඔබ බැංකුවක වෙබ් අඩවියකට පිවිසුණහොත් එසේත් නැත්නම් GoDaddy වැනි වෙබ් අඩවියකට පිවිසුණු විට එහි එම සමාගමේ නම “Secure” යන්න වෙනුවට භාවිතා කර තිබෙනු දකින්නට පුළුවන්. ඉන් කියැවෙන්නේ එය ඉහළ මට්ටමේ සහතිකපතක් හෙවත් වෙබ් අඩවි හිමිකරුවා නිසි ආකාරයෙන් සත්‍යාපනය කරගෙන නිකුත් කරන ලද වගකීමෙන් යුතු සහතිකපතක් බව යි.

මෙය තවදුරටත් පරීක්ෂා කිරීමට, සහතික පතේ සියළු දත්ත බැලීමට ඔබට අවශ්‍ය නම් Chrome හෝ (Firebug නෙැදැමූ) FireFox බ්‍රවුසරවල F12 බොත්තම මගින් Developer Tools විවෘත කරගෙන එහි “Security” ටැබ් එක වෙත පිවිසිය හැකියි. හැබැයි ඔබ වෙනුවෙන් බ්‍රවුසරය හැමවිටම මේ පරීක්ෂාව සිදුකරමින් විශ්වාස නොමැති අවස්ථාවන්හිදී ඔබේ පිවසීම වළක්වන්නට තරම් බුද්ධිමත් නිසා දැන් අතීතයේ තරම් බියක් ඇති කරගත යුතු නැහැ.

SSL එක්ක ඔබේ අත්දැකීම් මොනවා ද? Phishing වලට ඔබ අහුවුණු හෝ අනූ නවයෙන් බේරුණු අවස්ථා තිබෙනවා ද? අපිත් කැමතියි ඔබේ Comment එකෙන් ඒ ගැන දැනගන්න.

කවරයේ ඡායාරූපය: themmit.com

මූලාශ්‍ර:

1. letsencrypt.org
2. thenextweb.com
3. wordfence.com