এসএসএল শংসাপত্রগুলি কীভাবে যাচাই করা হয়?

219

এসএসএল শংসাপত্রটি সুরক্ষিতভাবে যাচাই করতে প্রয়োজনীয় পদক্ষেপগুলির সিরিজটি কী? আমার (খুব সীমাবদ্ধ) বোধগম্যতা হল আপনি যখন কোনও https সাইট পরিদর্শন করেন, সার্ভার ক্লায়েন্টকে (ব্রাউজারে) একটি শংসাপত্র প্রেরণ করে এবং ব্রাউজারটি সেই শংসাপত্র থেকে শংসাপত্রের প্রদানকারীর তথ্য পায়, তারপরে ইস্যুকারীকে যোগাযোগ করার জন্য এটি ব্যবহার করে এবং কোনওভাবে তুলনা করে বৈধতার জন্য শংসাপত্র।

ঠিক কীভাবে এটি করা হয়?
প্রক্রিয়া সম্পর্কে কী এটি মধ্য-মধ্য-আক্রমণের আক্রমণ থেকে সুরক্ষিত করে?
কিছু এলোমেলো ব্যক্তিকে মাঝারি-মধ্যবর্তী আক্রমণগুলিতে ব্যবহার করার জন্য তাদের নিজস্ব যাচাইকরণ পরিষেবা স্থাপন করতে বাধা দেয়, তাই সবকিছু "সুরক্ষিত" দেখায়?

— rcreswick
সূত্র

wst.space/ssl-part-4-tls-handshake-protocol

— বেনামে প্লাটিপাস

youtube.com/watch?v=T4Df5_cojAs

— কৃষ্ণ

308

এখানে একটি খুব সরলীকৃত ব্যাখ্যা:

আপনার ওয়েব ব্রাউজারটি ওয়েব সার্ভারের শংসাপত্র ডাউনলোড করে, এতে ওয়েব সার্ভারের সর্বজনীন কী রয়েছে। এই শংসাপত্রটি একটি বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের ব্যক্তিগত কী সহ স্বাক্ষরিত।
আপনার ওয়েব ব্রাউজারটি সমস্ত প্রধান শংসাপত্র কর্তৃপক্ষের সর্বজনীন কীগুলির সাথে ইনস্টল হয়। ওয়েব সার্ভারের শংসাপত্রটি সত্যই বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের দ্বারা স্বাক্ষরিত হয়েছে তা যাচাই করতে এটি এই সর্বজনীন কী ব্যবহার করে।
শংসাপত্রটিতে ডোমেনের নাম এবং / বা ওয়েব সার্ভারের আইপি ঠিকানা রয়েছে। আপনার ওয়েব ব্রাউজার শংসাপত্র কর্তৃপক্ষের সাথে নিশ্চিত করে যে শংসাপত্রের তালিকাভুক্ত ঠিকানাটি যার সাথে এটির একটি মুক্ত সংযোগ রয়েছে।
আপনার ওয়েব ব্রাউজারটি একটি ভাগ করা প্রতিসম কী তৈরি করে যা এই সংযোগে HTTP ট্র্যাফিক এনক্রিপ্ট করতে ব্যবহৃত হবে; এটি প্রতিটি কিছুর জন্য পাবলিক / প্রাইভেট কী এনক্রিপশন ব্যবহার করার চেয়ে অনেক বেশি দক্ষ। আপনার ব্রাউজারটি ওয়েব সার্ভারের সর্বজনীন কী সহ প্রতিসম কীটি এনক্রিপ্ট করে তারপরে এটি আবার প্রেরণ করে, কেবলমাত্র ওয়েব সার্ভারের ব্যক্তিগত কী রয়েছে বলে এটি নিশ্চিত করে যে কেবল ওয়েব সার্ভারই এটি ডিক্রিপ্ট করতে পারে।

মনে রাখবেন যে মধ্য-মধ্যের আক্রমণ রোধ করতে শংসাপত্র কর্তৃপক্ষ (সিএ) প্রয়োজনীয় essential যাইহোক, এমনকি স্বাক্ষরবিহীন শংসাপত্র কারও কাছে আপনার এনক্রিপ্ট করা ট্র্যাফিকটি নিস্ক্রিয়ভাবে শুনতে বাধা দেবে, কারণ আপনার ভাগ করা প্রতিসম কীটিতে অ্যাক্সেস পাওয়ার কোনও উপায় তাদের নেই।

— এলি কোর্টরাইট
সূত্র

4

1.5 পদক্ষেপের চারপাশে সার্ভারটি এর শংসাপত্রের সাথে সম্পর্কিত ব্যক্তিগত কীতে কিছু "স্বাক্ষর" করে। এটি কেবলমাত্র শংসাপত্রের নিজস্ব সাইট এটি উপস্থাপন করে তা নিশ্চিত করার জন্য নাম / আইপি চেকটির সাথে একত্রিত হয়।

— ড্যারন

68

এই প্রক্রিয়া সাথে সংযোগ ফায়ারফক্স ব্যবহারের একটি সম্পূর্ণ কাজ উদাহরণস্বরূপ দেখার জন্য amazon.com দেখুন moserware.com/2009/06/first-few-milliseconds-of-https.html

— জেফ Moser

9

আমি জানতাম না যে আমার ব্রাউজারটি সমস্ত বড় শংসাপত্র কর্তৃপক্ষের সার্বজনীন কীগুলির সাথে ইনস্টল হয়। এখন আমি জানি যে এমআইটিএম এর ঝুঁকি ছাড়াই কীভাবে আমার এসএসএল শংসাপত্রগুলি যাচাই করা হচ্ছে :)। ধন্যবাদ!

— ওয়ানচিলডুড

5

সার্ভারকে CAuthority থেকে শংসাপত্রের অনুরোধ করা দরকার, সুতরাং এটি এতে অনুরোধ প্রেরণ করে। সিএ কীভাবে নিশ্চিত হতে পারে যে সার্ভারটি বৈধ?

— ভয়েপ

4

@ ভিআইপি: দুর্দান্ত প্রশ্ন! Icallyতিহাসিকভাবে কয়েকটি পন্থা রয়েছে যেমন " webmaster@<domain-being-verified>" আপনার নিজের মালিকানা প্রমাণের জন্য এই ফাইলটি আপনার ডোমেনের কাছ থেকে ইমেল প্রেরণ করুন বা "আপনার ডোমেনে এই ফাইলটি রাখুন However" তবে, লোকেদের ডোমেনগুলির জন্য শংসাপত্র দেওয়ার ক্ষেত্রে সিএ পেয়ে লোকেরা আসলেই সমস্যা হয়েছিল have নিজস্ব - বিখ্যাতভাবে কেউ তাদের gmail.com এর জন্য একটি শংসাপত্র জারি করার জন্য একটি ছায়াময় সিএ পেতে সক্ষম হয়েছিল!

— এলি কোর্টরাইট

58

এটি লক্ষণীয় যে একটি শংসাপত্র কেনার পাশাপাশি (উপরে উল্লিখিত), আপনি বিনামূল্যে নিজের তৈরিও করতে পারেন; এটি একটি "স্বাক্ষরিত শংসাপত্র" হিসাবে উল্লেখ করা হয়। স্ব-স্বাক্ষরিত শংসাপত্র এবং যেটি কিনেছে তার মধ্যে পার্থক্যটি সহজ: ক্রয়কৃতটি একটি শংসাপত্র কর্তৃপক্ষ দ্বারা স্বাক্ষরিত হয়েছিল যা আপনার ব্রাউজারটি ইতিমধ্যে জানে। অন্য কথায়, আপনার ব্রাউজারটি কেনা শংসাপত্রের সত্যতা সহজেই যাচাই করতে পারে।

দুর্ভাগ্যক্রমে এটি একটি সাধারণ ভুল ধারণা তৈরি করেছে যে স্ব-স্বাক্ষরিত শংসাপত্রগুলি বাণিজ্যিকভাবে সিএর মতো গোডাডি এবং ভেরিসাইন দ্বারা বিক্রি হওয়াগুলির চেয়ে স্বভাবগতভাবে কম সুরক্ষিত এবং আপনি যদি সেগুলি ব্যবহার করেন তবে আপনাকে ব্রাউজারের সতর্কতা / ব্যতিক্রম সহ বাঁচতে হবে; এটি ভুল ।

যদি আপনি সুরক্ষিতভাবে স্ব-স্বাক্ষরিত শংসাপত্র বিতরণ করেন (বা বোবিন্সের পরামর্শ অনুসারে সিএ সার্টি) এবং আপনার সাইটটি ব্যবহার করবে এমন ব্রাউজারগুলিতে এটি ইনস্টল করেন তবে এটি কেনা এমন একটির মতোই সুরক্ষিত এবং মধ্য-মধ্যের পক্ষে ঝুঁকিপূর্ণ নয় আক্রমণ এবং নকল জালিয়াতি। স্পষ্টতই এর অর্থ হ'ল এটি কেবলমাত্র সম্ভব যদি আপনার সাইটের অল্প অল্প লোকেরই সুরক্ষিত অ্যাক্সেসের প্রয়োজন হয় (যেমন, অভ্যন্তরীণ অ্যাপ্লিকেশনগুলি, ব্যক্তিগত ব্লগ ইত্যাদি)।

— ক্লিন্ট হ্যারিস
সূত্র

1

প্রকৃতপক্ষে, নিরাপদে নিজের শংসাপত্র বিতরণ করা বিড়ালের চামড়ার এক উপায়, তবে তথাকথিত "ওপেন" সিএর সংখ্যার যে কোনও একটিতে যাওয়া আরও সহজ একটি। CACert.org আমার প্রিয়। যতক্ষণ আপনি তাদের শংসাপত্র জারি রক্ষার জন্য গৃহীত পদক্ষেপগুলিতে বিশ্বাস করেন ততক্ষণ তাদের রুট শংসাপত্রটি আমদানি করা নিরাপদ।

— nsayer

6

আমি এই মন্তব্যটি পছন্দ করি - দুর্ভাগ্যক্রমে এটি CA এর সাথে একটি অত্যন্ত গুরুত্বপূর্ণ দুর্বলতা তুলে ধরে। ধরা যাক আপনি বব স্মিথের কাছ থেকে একটি সিএ সার্ট আমদানি করেন - ভাল বব স্মিথ যে কোনও ডোমেইনের (google.com এবং chase.com সহ) জন্য একটি শংসাপত্র স্বাক্ষর করতে পারেন। এই কারণেই GoDaddy / Verisign OS এ অন্তর্ভুক্ত হওয়ার জন্য বড় অর্থ প্রদান করে - কোনও সুরক্ষিত দল তাদের দ্বারা পরীক্ষা করা হয় যাতে নিশ্চিত করা যায় যে তারা কোনও দূষিত ব্যক্তির জন্য কোনও সারিতে স্বাক্ষর না করেছে তা নিশ্চিত করার জন্য। আমি মনে করি আপনার "এই CA কেবলমাত্র mysite.com- এর জন্য শংসাপত্রগুলি স্বাক্ষর করতে পারে" বলতে সক্ষম হওয়া উচিত।

— নাটালি অ্যাডামস

স্ব স্বাক্ষরিত শংসাপত্র কি আরও সুরক্ষিত নয়, যেহেতু সিএ আউট আছে এমন কিছুতে স্বাক্ষর করার জন্য অর্থ প্রদান করা যেতে পারে। আপনি যদি সিএ শংসাপত্রগুলি নিরাপদে শেষ-পয়েন্টগুলিতে বিতরণ করতে পারেন তবে সর্বদা স্ব-স্বাক্ষরিত শংসাপত্রগুলির সাথে যান।

— javaPhobic

এমন কি সিএ রয়েছে যা বেশিরভাগ প্রধান ব্রাউজারগুলিতে বিনামূল্যে এবং যাচাই করা আছে? আমি কেবলমাত্র একটি ইমেল এবং ডোমেন নামের মালিকানা যাচাই করার জন্য আমি একটি বেসিক সার্টিফিকেট খুঁজছি। আমি যেগুলি পেয়েছি সেগুলি বেশিরভাগ প্রধান ব্রাউজারগুলিতে নেই।

— অ্যালেক্স কুইটনি

@ নাথানএডামস তত্ত্ব অনুসারে বড় সিএগুলি আপনার বর্ণনার সাথে সাথে বোগাস শংসাপত্র প্রদান থেকে বিরত রাখতে অনুরোধগুলি পরীক্ষা করার কথা রয়েছে ... তবে এই গল্পটি পড়ুন: স্ট্রাইপ.ইএন.শ

— এনসায়ার

38

আপনি যে বললেন

ব্রাউজারটি সেই শংসাপত্র থেকে শংসাপত্রের জারিকারীর তথ্য পায়, তারপরে এটি ব্যবহারকারীর সাথে যোগাযোগ করার জন্য ব্যবহার করে এবং কোনওভাবে বৈধতার জন্য শংসাপত্রের সাথে তুলনা করে।

ক্লায়েন্টকে ইস্যুকারীর সাথে চেক করতে হবে না কারণ দুটি জিনিস:

সমস্ত ব্রাউজারের সমস্ত প্রধান সিএস পাবলিক কীগুলির একটি প্রাক ইনস্টলড তালিকা রয়েছে
শংসাপত্রটি স্বাক্ষরিত হয়, এবং সেই স্বাক্ষরটি নিজেই যথেষ্ট প্রমাণ দেয় যে শংসাপত্রটি বৈধ কিনা কারণ ক্লায়েন্ট নিজের দ্বারা এবং ইস্যুকারীর সার্ভারের সাথে যোগাযোগ না করে নিশ্চিত করতে পারে যে শংসাপত্রটি খাঁটি। এটি অসমমিতিক এনক্রিপশনের সৌন্দর্য।

লক্ষ্য করুন যে 2 1 ছাড়া করা যাবে না।

কিছুক্ষণ আগে আমি তৈরি করা এই বড় চিত্রটিতে এটি আরও ভালভাবে ব্যাখ্যা করা হয়েছে

(নীচে "স্বাক্ষর কী?" এ যান)

ফোঁটা

— ychaouche
সূত্র

9

এটি গ্রহণযোগ্য উত্তর হওয়া উচিত ছিল। @ এলি কোর্টরাইটের উত্তর শংসাপত্রগুলি কীভাবে কাজ করে তা বোঝার জন্য সংক্ষিপ্ত ইমো way

— ফেলিক্স ক্রেজোলারা

এটি একবারে পড়া যথেষ্ট নাও হতে পারে তবে আপনি যদি ইতিমধ্যে SSL এর বিট এবং টুকরাগুলির সাথে পরিচিত হন তবে এটি সত্যিই সমস্ত কিছু একত্রিত করে। চমৎকার কাজ!

— ক্যামেরন গাগনন

চমত্কার চিত্র। অবশেষে এমন কিছু যা আমার প্রশ্নের ব্যাখ্যা দেয়। আমি যেখানেই গভীরতায় যেতে চাইছি কেবল "ব্রাউজার শংসাপত্রটি সঠিক কিনা তা যাচাই করে" বলেছিল। তবে এটি কী করে? এটি একটি উত্তর দেয়।

— ori6151

8

ক্লায়েন্টের এসএসএল শংসাপত্র কর্তৃপক্ষের সর্বজনীন কীগুলির প্রাক-বীজযুক্ত স্টোর রয়েছে। সার্ভারের উপর নির্ভরযোগ্য হওয়ার জন্য সার্ভারের শংসাপত্রের মধ্যবর্তী কর্তৃপক্ষের মাধ্যমে তথাকথিত "রুট" শংসাপত্রগুলির মধ্যে একটি পর্যন্ত অবশ্যই একটি শৃঙ্খলাবদ্ধ হতে হবে।

আপনি বিশ্বস্ত কর্তৃপক্ষের তালিকাটি পরীক্ষা এবং / বা পরিবর্তন করতে পারেন। স্থানীয় কর্তৃপক্ষের শংসাপত্র যুক্ত করার জন্য আপনি প্রায়ই এটি করেন যা আপনি জানেন যে আপনি বিশ্বাস করেন - যেমন আপনি যে প্রতিষ্ঠানের পক্ষে কাজ করেন বা যে বিদ্যালয়ে আপনি উপস্থিত হন বা কী না what

প্রাক-বীজযুক্ত তালিকাটি আপনি কোন ক্লায়েন্ট ব্যবহার করছেন তার উপর নির্ভর করে পরিবর্তিত হতে পারে। বড় এসএসএল শংসাপত্র বিক্রেতারা নিশ্চিত করে যে তাদের মূল শংসাপত্রগুলি সমস্ত বড় ব্রাউজারগুলিতে ($$$)।

আক্রমণকারীটির একটি বিশ্বাসযোগ্য রুট শংসাপত্রের ব্যক্তিগত কী না থাকলে বানরের অভ্যন্তরে মধ্য আক্রমণগুলি "অসম্ভব"। যেহেতু সংশ্লিষ্ট শংসাপত্রগুলি ব্যাপকভাবে মোতায়েন করা হয়, তাই এই জাতীয় ব্যক্তিগত কীটি প্রকাশের ফলে সাধারণত ইকমার্সের সুরক্ষার জন্য মারাত্মক প্রভাব পড়ে। যে কারণে, এই ব্যক্তিগত কীগুলি খুব, খুব কাছ থেকে রক্ষিত।

— nsayer
সূত্র

8

যদি আপনি আরও প্রযুক্তিগত বিবেচনা করেন তবে এই সাইটটি সম্ভবত আপনি যা চান: http://www.zytrax.com/tech/survival/ssl.html

সতর্কতা: খরগোশের গর্ত গভীর হয় :)।

— মাইক ফ্রাইঞ্জার
সূত্র