क्रिप्टो कैसीनो
धार गियर
कैसे एक कैसीनो के डोमेन और एसएसएल प्रमाणपत्र की जाँच करें
छोटा (60 सेकंड में खिलाड़ी के लिए)
1. पता https : //से प्रारंभ होता है और बिना त्रुटि के लॉक दिखाता है।
2. डोमेन को "प्रतिस्थापन" (शून्य ↔ o, rn ↔ m) के बिना लिखा गया है। लॉक पर क्लिक करें - प्रमाणपत्र एक ही डोमेन पर विश्वसनीय CAs द्वारा जारी किया गया था।
3. किसी भी वेतन/खाता स्क्रीन पर "सुरक्षित नहीं" या "मिश्रित सामग्री" चेतावनी नहीं हैं।
4. फुटर में - कानूनी नाम और लाइसेंस (ब्रांड के समान)।
यदि इसमें से कोई परिवर्तित नहीं होता है, तो डाटा दर्ज न करें और टैब को बंद करें।
डोमेन जाँच: क्या यह बिल्कुल "वह" साइट है?
1) दृश्य और भाषाई प्रतिस्थापन
आईडीएन और इसी तरह के पात्रों को देखें: 'पेपाल। कॉम '(सिरिलिक) बनाम' पेपाल। com '।
संदिग्ध पते के लिए, "सर्टिफिकेट" लॉक पर क्लिक करें - कैनोनिकल डोमेन (punycode) पर देखें।
2) WHOIS और DNS सुविधाएँ
यह सामान्य है जब ब्रांड में एक समझने योग्य रजिस्ट्रार होता है, गोपनीयता छिपी होती है, डोमेन "कल" सक्रिय नहीं होता है।
बेस रिकॉर्ड: 'ए/एएएए', 'एनएस', 'एमएक्स', सीएए (जो सीए की अनुमति है)। सीएए की उपस्थिति अनुशासन के लिए एक प्लस है।
3) ब्रांड और कानूनी इकाई
टी एंड सी और फुटर के पास एक कानूनी नाम और लाइसेंस नंबर होना चाहिए। यह आमतौर पर OV/EV प्रमाणपत्र में दिखाई देता है।
प्रमाणपत्र सत्यापन: क्या देखना महत्वपूर्ण
1) वैधता और विश्वास श्रृंखला
प्रमाणपत्र समाप्त नहीं हुआ है, रूट सीए के लिए श्रृंखला "हरा" है।
SAN (विषय वैकल्पिक नाम) जाँचें: आपका डोमेन अंदर होना चाहिए.
2) प्रकार और मालिक
डीवी (डोमेन) - भुगतान फॉर्म के बिना सार्वजनिक साइटों के लिए ठीक है।
OV/EV - एक कैसीनो के लिए बेहतर: एक कानूनी इकाई को "विषय" में इंगित किया जाएगा (ब्रांड/लाइसेंस के साथ मेल खाना चाहिए)।
3) स्मरण और पारदर्शिता
OCSP स्टेपलिंग: "अच्छा" स्थिति।
सीटी लॉग (प्रमाणपत्र पारदर्शिता): प्रकाशित प्रमाणपत्र; प्रति ब्रांड कोई "अतिरिक्त" मुद्दा एक अच्छा संके
परिवहन सुरक्षा: टीएलएस और हेडलाइंस
1) प्रोटोकॉल संस्करण और सिफर
TLS 1 सक्षम। 2/1. 3, SSLv3/TLS1 विकलांग हैं। 0/1. 1.
PFS के साथ Ciphers: ECDHE + AES-GCM या ChaCha20-Poly1305।
2) एचएसटीएस और "पूर्ण एचटीटीपीएस"
HSTS हेडर 'includeSubdomains के साथ; प्रीलोड '(मिश्रित सामग्री को समाप्त करने के
HTTP → HTTPS सभी पृष्ठों (छवियों और स्क्रिप्ट सहित) पर पुनर्निर्देशित करता है।
3) महत्वपूर्ण सुरक्षा-हेडर
CSP ('डिफ़ॉल्ट-src' स्व 'और सही स्रोतों के साथ),' एक्स-कंटेंट-टाइप-ऑप्शंस: नोसनिफ़ ',' रेफरर-पॉलिसी ',' फ्रेम-पूर्वजों '(या' एक्स-फ़्रेम-ऑप्शंस ') से बचाहते हैं। Httponly; सेमसाइट = लैक्स/स्ट्रिक्ट '।
त्वरित ऑनलाइन जाँच (कोई कोड नहीं)
एसएसएल/टीएलएस प्रोफ़ाइल: क्वालिस एसएसएल लैब्स सर्वर टेस्ट - टीएलएस संस्करण, सिफर, चेन, एचएसटीएस, ट्रस्ट।
HTTP : हेडर/ऑब्जर्वेटरी - CSP, HSTS, XFO, रेफरी-पॉलिसी।
सीटी निगरानी: crt। sh/censys - डोमेन/ब्रांड के लिए क्या प्रमाणपत्र जारी किए गए थे।
DNS/CAA: खुदाई/ऑनलाइन DNS निरीक्षक।
कमांड लाइन मिनी टूल्स
कुंजी> बदलें 'example। कैसीनो 'डोमेन स्कैन किया जा रहा है।
प्रमाणपत्र और श्रृंखला देखें
bash openssl s_client -connect उदाहरण। कैसीनो: 443 -servername उदाहरण। कैसीनो -showcerts </dev/null 2 >/dev/null Openssl x509 -noout-issuer -subject-dates -ext - AltNameTLS संस्करण और सिफर की जाँच करें (उदाहरण के साथ TLS1। 2)
bash openssl s_client -connect उदाहरण। कैसीनो: 443 -tls1_2 -cipher 'ECDHE' </dev/null ग्रेप - ई 'प्रोटोकॉल सिफर 'सुरक्षा शीर्षिका जाँचें
बैश कर्ल -sI https ://उदाहरण। कैसीनो Grep-Ei 'सख्त-परिवहन-सुरक्षा सामग्री-सुरक्षा-नी एक्स-सामग्री-प्रकार-वि रेफरर-पॉलिसी एक्स-फ्रेम-विकल्प सेट-कुकी 'HTTP → HTTPS रीडायरेक्ट जाँचें
बैश कर्ल - I http ://उदाहरण। कैसीनोसीएए की जाँच करें (जो प्रमाणपत्र जारी कर सकते हैं)
बैश खुदाई + लघु सीएए उदाहरण। कैसीनोमिश्रित सामग्री: कैसे नोटिस करें और यह खतरनाक क्यों है
यदि HTTPS पर कोई पृष्ठ चित्र/JS/CSS को http : //द्वारा डाउनलोड करता है, तो ब्राउज़र शपथ लेता है: कुछ सामग्री को प्रतिस्थापित किया जा सकता है। भुगतान/व्यक्तिगत पृष्ठों के लिए, मिश्रित सामग्री एक महत् समाधान सख्त CSP, पूर्ण HTTPS लिंक, विधानसभा सत्यापन है।
ईमेल प्रमाणीकरण (एंटी-फ़िशिंग)
कैसीनो डोमेन के लिए एसपीएफ, डीकेआईएम, डीएमएआरसी की उपस्थिति समर्थन से फ़िशिंग ईमेल के जोखिम को कम करती है। "जाँच करें:बैश खुदाई + लघु TXT उदाहरण। कैसीनो # SPF/DMARCDMARC कम से कम 'p = संगरोध' होना चाहिए, बेहतर 'p = अस्वीकार'।
आधिकारिक कैसीनो डोमेन को और क्या अलग करता है
एकल उपडोमेन संरचना (उदा। 'www', 'मदद', 'भुगतान'), कोई यादृच्छिक मेजबान नहीं।
स्टेटिक्स/मीडिया सबडोमेन भी वैध टीएलएस और सही श्रृंखला के साथ।
CUS/वॉलेट के पृष्ठों पर - हमेशा https : //, बिना चेतावनी के।
T&C एक ADR/नियामक निर्दिष्ट करता है जो डोमेन ब्रांड से मेल खाता है।
प्लेयर के लिए चेकलिस्ट
पता बिल्कुल आपका कैसीनो है (अतिरिक्त डैश/अक्षर के बिना), https : //, बिना त्रुटियों के लॉक करें।
पुनः पूर्ति/आउटपुट पृष्ठ पर और प्रोफ़ाइल में कोई चेतावनी और "पीले" आइकन नहीं हैं।
"प्रमाणपत्र" में - SAN में आपका डोमेन, प्रमाणपत्र वैध है "से... द्वारा"..
कोई संदेह - केवल बुकमार्क से जाएँ या पता हस्तचालित टाइप करें; ईमेल/इंस्टेंट मैसेंजर से लिंक क्लिक न करें।
ऑपरेटर चेकलिस्ट (छोटा लेकिन कठोर)
टीएलएस 1। 2/1. 3, ECDHE + AES-GCM/ChaCha; SSLv3/TLS1। 0/1. 1 बंद हैं।
मिश्रित सामग्री के उन्मूलन के बाद एचएसटीएस प्रीलोड; हर जगह पुनर्निर्देशित करें।
सार्वजनिक डोमेन के लिए OV/EV; आंतरिक एपीआई और वेबहूक के लिए एमटीएलएस।
सीटी ब्रांड निगरानी; सीएए सीमा ने सीएएस की अनुमति दी।- सीएसपी सख्त, कुकी 'सुरक्षित; Httponly; सेमसाइट '।
- ऑटो नवीकरण, 30/14/7/1 दिनों के लिए अलर्ट; प्रत्येक रिलीज के बाद टीएलएस परीक्षण।
- SPF/DKIM/DMARC 'p = अस्वीकार प्राथमिक वितरण डोमेन।
- व्यवस्थापक पैनल - एक अलग डोमेन/खंड पर, आईपी-अनुमति-सूची + 2FA।
बार-बार जाल और उनसे कैसे बचें
होमोग्राफिक डोमेन ('xn--...'): हमेशा प्रमाणपत्र गुणों में punycode देखें।
साइट के यूआई में नकली "लॉक": केवल ब्राउज़र लॉक पर ध्यान केंद्रित करें।
शो के लिए ईवी: खराब टीएलएस और मिश्रित सामग्री कॉन्फ़िगरेशन के लिए क्षतिपूर्ति नहीं करता है।
केवल सीडीएन पर टीएलएस: मूल से पहले सीडीएन के पीछे टीएलएस सक्षम करें।
समाप्त प्रमाणपत्र: स्वचालित रिलीज/नवीकरण (एसीएमई) और निगरानी।
डोमेन की जाँच और SSL/TLS "जादू" नहीं है, बल्कि सरल चरणों का एक सेट है। खिलाड़ी के लिए, यह सही डोमेन और वैध प्रमाणपत्र को बिना चेतावनी के सुनिश्चित करने के लिए पर्याप्त है ऑपरेटरों के लिए, अनुशासन महत्वपूर्ण है: आधुनिक टीएलएस प्रोफाइल, एचएसटीएस, सख्त हेडर, सीटी निगरानी, सीएए और कोई मिश्रित सामग्री नहीं। यह भुगतान और केवाईसी डेटा की रक्षा करता है, विश्वास बढ़ाता है और सीधे रूपांतरण और लाइसेंस अनुपालन को प्रभावित करता है।