এসএসএল কীভাবে কাজ করে?


143

এসএসএল কীভাবে কাজ করে?

ক্লায়েন্টে (বা ব্রাউজার?) এবং সার্ভারে (বা ওয়েব সার্ভার?) শংসাপত্র ইনস্টল করা হয় কোথায়?

আপনি যখন ব্রাউজারে ইউআরএল প্রবেশ করেন এবং সার্ভার থেকে পৃষ্ঠাটি পান তখন কীভাবে বিশ্বাস / এনক্রিপশন / প্রমাণীকরণ প্রক্রিয়া শুরু হয়?

এইচটিটিপিএস প্রোটোকল কীভাবে শংসাপত্রটি সনাক্ত করতে পারে? সমস্ত বিশ্বাস / এনক্রিপশন / প্রমাণীকরণের কাজ করে এমন শংসাপত্রগুলি হ'ল কেন এইচটিটিপি শংসাপত্রগুলির সাথে কাজ করতে পারে না?


24
আমি মনে করি এটি একটি যুক্তিসঙ্গত প্রশ্ন - এসএসএল কীভাবে পদক্ষেপ 1 এর কাজ করে তা বুঝতে পেরে, সঠিকভাবে এটি বাস্তবায়ন করা ধাপ 2 দ্বারা ধাপ 2 2
সিনথেসাইজারপেটেল



5
পছন্দ করেছেন লোকেরা সাহায্যের সন্ধানে আসে। তাদের সমস্ত সহায়তা অস্বীকার করবেন না কারণ আপনি মনে করেন যে প্রশ্নটি নিয়মের সাথে পুরোপুরি মেলে না।
Koray Tugay

1
@ কোরেতুগে - কেউই সহায়তা অস্বীকার করছে না। এটি সুরক্ষা বা সিসাদমিনের সাথে সম্পর্কিত যেখানে এটি আরও ভাল লক্ষ্যবস্তু রয়েছে তবে সাধারণ আইটি প্রশ্ন পোস্ট না করে কিছুটা প্রোগ্রামিং প্রসঙ্গ যুক্ত করে ওপি সাধারণত এই ফোরামে উপকৃত হবে। কতগুলি লোকেরা নির্দিষ্ট প্রোগ্রামিং সমস্যার সাথে আবদ্ধ না হলে প্রশ্ন বন্ধ হয়ে যায়? সম্ভবত খুব বেশি, অতএব আমার সমিতি ওপেনাকে সম্মতি জানায় association
স্টিংজি জ্যাক

উত্তর:


144

দ্রষ্টব্য: আমি আমার আসল উত্তরটি খুব তাড়াতাড়ি লিখেছি, তবে তখন থেকে এটি মোটামুটি জনপ্রিয় প্রশ্ন / উত্তরে রূপান্তরিত হয়েছে, তাই আমি এটিকে কিছুটা প্রসারিত করেছি এবং এটিকে আরও সুনির্দিষ্ট করেছি।

টিএলএস ক্ষমতা

"এসএসএল" এমন নাম যা প্রায়শই এই প্রোটোকলটি উল্লেখ করতে ব্যবহৃত হয়, তবে এসএসএল বিশেষত 90 এর দশকের মাঝামাঝি নেটস্কেপ দ্বারা ডিজাইন করা মালিকানাধীন প্রোটোকলকে বোঝায়। "টিএলএস" একটি আইইটিএফ স্ট্যান্ডার্ড যা এসএসএল ভিত্তিক, তাই আমি আমার উত্তরে টিএলএস ব্যবহার করব। আজকাল, প্রতিক্রিয়াগুলি হ'ল ওয়েবে আপনার প্রায় সব সুরক্ষা সংযোগগুলি সত্যই এসএসএল নয়, টিএলএস ব্যবহার করে।

টিএলএস এর বেশ কয়েকটি ক্ষমতা রয়েছে:

  1. আপনার অ্যাপ্লিকেশন স্তর ডেটা এনক্রিপ্ট করুন। (আপনার ক্ষেত্রে, অ্যাপ্লিকেশন স্তর প্রোটোকলটি এইচটিটিপি)
  2. ক্লায়েন্টের কাছে সার্ভারটি প্রমাণীকরণ করুন।
  3. ক্লায়েন্টকে সার্ভারে প্রমাণীকরণ করুন।

# 1 এবং # 2 খুব সাধারণ। # 3 কম সাধারণ হয়। আপনি # 2 তে মনোনিবেশ করা বলে মনে হচ্ছে, তাই আমি সেই অংশটি ব্যাখ্যা করব।

প্রমাণীকরণ

একটি সার্ভার শংসাপত্র ব্যবহার করে নিজেকে ক্লায়েন্টের কাছে প্রমাণীকরণ করে। একটি শংসাপত্র হ'ল ডেটা একটি ব্লব [1] যাতে একটি ওয়েবসাইট সম্পর্কে তথ্য থাকে:

  • ডোমেন নাম
  • পাবলিক কী
  • যে সংস্থা এটির মালিক
  • যখন জারি করা হয়েছিল
  • যখন এটির মেয়াদ শেষ হয়
  • কে ইস্যু করেছে
  • প্রভৃতি

আপনি গোপনীয়তা অর্জন করতে পারেন (উপরে # 1) শংসাপত্রের অন্তর্ভুক্ত সার্বজনীন কী ব্যবহার করে বার্তাগুলি এনক্রিপ্ট করতে কেবল সেই ব্যক্তিগত কী দ্বারা ডিক্রিপ্ট করা যায়, যা সেই সার্ভারে নিরাপদে সংরক্ষণ করা উচিত [[2] আসুন এই কী জুটিকে কেপি 1 বলুন, যাতে আমরা পরে বিভ্রান্ত না হয়ে যাই। আপনি যাচাই করতে পারেন যে শংসাপত্রের ডোমেন নামটি আপনি পরিদর্শন করা সাইটের সাথে (উপরে # 2) মেলে।

তবে কি যদি কোনও বিরোধী সার্ভারে এবং তার থেকে প্রেরিত প্যাকেটগুলিকে সংশোধন করতে পারে, এবং যদি সেই শত্রুরা আপনার সাথে উপস্থাপিত শংসাপত্রটি সংশোধন করে তাদের নিজস্ব পাবলিক কী inুকিয়ে দেয় বা অন্য কোনও গুরুত্বপূর্ণ বিবরণ পরিবর্তন করে তবে কী হবে? যদি তা ঘটে থাকে, তবে শত্রুরা যে কোনও বার্তাকে সুরক্ষিতভাবে এনক্রিপ্ট করেছিল বলে মনে করে বাধা দিতে ও সংশোধন করতে পারে।

এটি খুব আক্রমণ থেকে রোধ করতে, শংসাপত্রটি অন্যের ব্যক্তিগত কী দ্বারা ক্রিপ্টোগ্রাফিকভাবে এমনভাবে স্বাক্ষরিত হয় যাতে সংশ্লিষ্ট পাবলিক কী রয়েছে এমন যে কেউ স্বাক্ষরটি যাচাই করতে পারে। এই কী কীটিকে কেপি 2 বলুন, এটি পরিষ্কার করার জন্য যে সার্ভারটি ব্যবহার করছে এটি একই কী নয়।

শংসাপত্র কর্তৃপক্ষ

কে কে 2 কে তৈরি করলেন? কে শংসাপত্র স্বাক্ষরিত?

কিছুটা পর্যবেক্ষণ করে একটি শংসাপত্র কর্তৃপক্ষ কেপি 2 তৈরি করে এবং তারা তাদের ব্যক্তিগত কী ব্যবহার করে অন্যান্য সংস্থাগুলির শংসাপত্রগুলি স্বাক্ষর করতে বিক্রয় করে। উদাহরণস্বরূপ, আমি একটি শংসাপত্র তৈরি করি এবং আমি ভেরিসিনের মতো একটি সংস্থাকে তাদের ব্যক্তিগত কী দিয়ে স্বাক্ষর করার জন্য অর্থ প্রদান করি [[3] যেহেতু ভেরিশাইন ব্যতীত অন্য কারও এই ব্যক্তিগত কীতে অ্যাক্সেস নেই, তাই আমরা কেউই এই স্বাক্ষর জাল করতে পারি না।

এবং স্বাক্ষরটি যাচাই করার জন্য আমি কীভাবে ব্যক্তিগতভাবে কেপি 2-তে পাবলিক কী লাভ করব?

আচ্ছা আমরা ইতিমধ্যে দেখেছি যে একটি শংসাপত্র একটি পাবলিক কী ধরে রাখতে পারে - এবং কম্পিউটার বিজ্ঞানীরা পুনরাবৃত্তি পছন্দ করে - তবে কেন কেপি 2 পাবলিক কী একটি শংসাপত্রের মধ্যে রেখে সেভাবে বিতরণ করবেন না? এটি প্রথমে কিছুটা ক্রেজি মনে হচ্ছে তবে বাস্তবে এটি কীভাবে কাজ করে। ভেরিজাইন উদাহরণ দিয়ে চালিয়ে, ভেরিজাইন একটি শংসাপত্র তৈরি করে যাতে তারা কে, কী ধরণের জিনিসগুলিতে তাদের স্বাক্ষর করার অনুমতি দেওয়া হয় (অন্যান্য শংসাপত্রগুলি) এবং তাদের সর্বজনীন কী সম্পর্কে তথ্য রয়েছে includes

এখন যদি আমার সেই ভেরিজাইন শংসাপত্রের একটি অনুলিপি থাকে তবে আমি যে ওয়েবসাইটটি দেখতে চাই তার সার্ভার শংসাপত্রের স্বাক্ষরটি বৈধ করতে আমি এটি ব্যবহার করতে পারি। সহজ, তাই না ?!

ঠিক আছে, এত দ্রুত নয়। আমাকে কোথাও থেকে ভেরিজাইন শংসাপত্রটি পেতে হয়েছিল । যদি কেউ ভেরিজাইন শংসাপত্রটি ফাঁকি দেয় এবং তাদের নিজস্ব পাবলিক কীটি সেখানে রাখে? তারপরে তারা সার্ভারের শংসাপত্রে স্বাক্ষর জাল করতে পারে এবং আমরা যেখানেই শুরু করেছি ঠিক সেখানে ফিরে আসছি: মাঝারি আক্রমণ।

শংসাপত্র শৃঙ্খলা

পুনরাবৃত্তির সাথে চিন্তাভাবনা অব্যাহত রেখে আমরা অবশ্যই একটি তৃতীয় শংসাপত্র এবং একটি তৃতীয় কী জুড়ি (কেপি 3) প্রবর্তন করতে পারি এবং এটি ভেরিগাইন সার্টিফিকেট স্বাক্ষর করতে ব্যবহার করতে পারি। আমরা এটিকে একটি শংসাপত্র শৃঙ্খলা বলি: চেইনের প্রতিটি শংসাপত্রটি পরবর্তী শংসাপত্রটি যাচাই করতে ব্যবহৃত হয়। আশা করি আপনি ইতিমধ্যে দেখতে পাচ্ছেন যে এই পুনরাবৃত্তির পদ্ধতিটি পুরো পথটি কেবল কচ্ছপ / শংসাপত্র। কোথায় থামবে?

যেহেতু আমরা অসীম সংখ্যক শংসাপত্র তৈরি করতে পারি না, তাই শংসাপত্র শৃঙ্খলা অবশ্যই কোথাও থামতে হবে এবং স্ব-স্বাক্ষরিত শৃঙ্খলে একটি শংসাপত্র যুক্ত করে এটি সম্পন্ন হয়েছে ।

আমি আপনার মাথাটি বিস্ফোরিত হয়ে মস্তিষ্কের পদার্থগুলি টুকরো টুকরো করার জন্য এক মুহুর্তের জন্য থামব। স্ব-স্বাক্ষরিত ?!

হ্যাঁ, শংসাপত্র শৃঙ্খলার শেষে ("দ্য" রুট ") রয়েছে, এমন একটি শংসাপত্র থাকবে যা স্বাক্ষর করতে নিজের কীপায়ারটি ব্যবহার করে। এটি অসীম পুনরাবৃত্তি সমস্যাটি দূর করে, তবে এটি প্রমাণীকরণের সমস্যাটিকে ঠিক করে না। যে কোনও ব্যক্তি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে পারে যা এতে কিছু বলে, ঠিক যেমন আমি একটি নকল প্রিন্সটন ডিপ্লোমা তৈরি করতে পারি যা বলে যে আমি রাজনীতি, তাত্ত্বিক পদার্থবিজ্ঞানে ত্রিপল ছড়িয়ে দিয়েছি এবং বাট-কিকিং প্রয়োগ করেছি এবং তারপরে নীচে আমার নিজের নামে স্বাক্ষর করব।

এই সমস্যার [কিছুটা অবাস্তব] সমাধান হ'ল কিছু স্ব-স্বাক্ষরিত শংসাপত্রের সেট বেছে নেওয়া যা আপনি স্পষ্টভাবে বিশ্বাস করেন। উদাহরণস্বরূপ, আমি বলতে পারি, "আমি এই Verisign স্ব-স্বাক্ষরিত শংসাপত্রের উপর বিশ্বাস করি ।"

সেই স্পষ্ট বিশ্বাসের জায়গায় এখন আমি পুরো শংসাপত্র চেইনকে বৈধতা দিতে পারি। শৃঙ্খলে কতগুলি শংসাপত্র রয়েছে তা বিবেচনা না করেই আমি প্রতিটি স্বাক্ষরকে মূল পর্যন্ত যেতে পারি। আমি যখন রুটে উঠি, আমি সেই রুট শংসাপত্রটি এমন একটি কিনা যা আমি স্পষ্টভাবে বিশ্বাস করি। যদি তাই হয় তবে আমি পুরো চেইনে বিশ্বাস করতে পারি।

কনফারড ট্রাস্ট

টিএলএসে প্রমাণীকরণ প্রদত্ত বিশ্বাসের একটি সিস্টেম ব্যবহার করে । আমি যদি একটি অটো মেকানিক ভাড়া নিতে চাই, তবে আমি যে কোনও এলোমেলো মেকানিককে খুঁজে পাই তার উপরে আমি বিশ্বাস করতে পারি না। তবে আমার বন্ধুটি কোনও নির্দিষ্ট মেকানিকের পক্ষে কথা বলছে। যেহেতু আমি আমার বন্ধুকে বিশ্বাস করি, তখন আমি সেই যান্ত্রিককে বিশ্বাস করতে পারি।

আপনি যখন কম্পিউটার কিনে বা ব্রাউজার ডাউনলোড করেন, তখন এটি কয়েকশ মূল শংসাপত্রের সাথে আসে যা এটি স্পষ্টভাবে বিশ্বাস করে [[4] যে সমস্ত সংস্থাগুলি এই শংসাপত্রগুলির মালিক এবং পরিচালনা করে তারা অন্যান্য শংসাপত্রগুলিতে স্বাক্ষর করে এই বিশ্বাসটি প্রদান করতে পারে।

এটি একটি নিখুঁত ব্যবস্থা থেকে অনেক দূরে। কিছু সময় কোনও সিএ ভুলক্রমে একটি শংসাপত্র জারি করতে পারে। এই ক্ষেত্রে শংসাপত্র প্রত্যাহার করার প্রয়োজন হতে পারে। প্রত্যাহার করা জটিল, কারণ জারি করা শংসাপত্র সর্বদা ক্রিপ্টোগ্রাফিকভাবে সঠিক থাকবে; পূর্বে কোন বৈধ শংসাপত্র প্রত্যাহার করা হয়েছে তা খুঁজে বের করার জন্য একটি আউট-অফ-ব্যান্ড প্রোটোকল প্রয়োজন। অনুশীলনে, এর মধ্যে কয়েকটি প্রোটোকল খুব নিরাপদ নয় এবং অনেকগুলি ব্রাউজারগুলি সেভাবে যাচাই করে না।

কখনও কখনও একটি সম্পূর্ণ সিএ আপোস করা হয়। উদাহরণস্বরূপ, আপনি যদি ভেরিজাইন ভাঙতে এবং তাদের মূল স্বাক্ষর কীটি চুরি করতে থাকেন তবে আপনি বিশ্বের কোনও শংসাপত্র ফাঁকি দিতে পারেন । লক্ষ্য করুন যে এটি কেবল ভেরিজাইন গ্রাহকদেরকেই প্রভাবিত করে না: এমনকি যদি আমার শংসাপত্র থাওতে (ভেরিগাইনের প্রতিযোগী) স্বাক্ষরিত হয়, তাতে কিছু আসে যায় না। আমার শংসাপত্রটি এখনও ভেরিজাইন থেকে সমঝোতা স্বাক্ষর কী ব্যবহার করে নকল করা যেতে পারে।

এটি কেবল তাত্ত্বিক নয়। এটা বুনোতে হয়েছে। ডিজিএনোটার বিখ্যাতভাবে হ্যাক হয়েছিল এবং পরে দেউলিয়া হয়ে যায়। কমোডোও হ্যাক হয়েছিল , তবে অবিস্মরণীয়ভাবে তারা আজ অবধি ব্যবসায়ে রয়েছে।

এমনকি সিএগুলি সরাসরি আপোস না করলেও এই ব্যবস্থায় অন্যান্য হুমকি রয়েছে। উদাহরণস্বরূপ, একটি সরকার জাল শংসাপত্রে স্বাক্ষর করতে সিএকে বাধ্য করতে আইনী জবরদস্তি ব্যবহার করে। আপনার নিয়োগকর্তা আপনার কর্মচারী কম্পিউটারে তাদের নিজস্ব সিএ শংসাপত্র ইনস্টল করতে পারেন। এই বিভিন্ন ক্ষেত্রে, আপনি যে ট্র্যাফিক "সুরক্ষিত" হিসাবে প্রত্যাশা করেন তা আসলে সেই শংসাপত্রটি নিয়ন্ত্রণ করে এমন সংস্থার কাছে সম্পূর্ণ দৃশ্যমান / সংশোধনযোগ্য।

কিছু প্রতিস্থাপন সহ প্রস্তাব করা হয়েছে, কনভার্জেন্স , ট্যাক , এবং DANE

শেষটীকা

[1] টিএলএস শংসাপত্রের ডেটা X.509 মান অনুযায়ী ফর্ম্যাট করা হয়েছে । X.509 উপর ভিত্তি করে তৈরি ASN.1 ( "সারাংশ সিনট্যাক্স স্বরলিপি # 1"), যার মানে এটা না একটি বাইনারি ডাটা বিন্যাস। সুতরাং, X.509 অবশ্যই বাইনারি বিন্যাসে এনকোড করা উচিত । ডের এবং পিইএম হ'ল আমি জানি যে দুটি সবচেয়ে সাধারণ এনকোডিং ings

[২] বাস্তবে, প্রোটোকলটি আসলে একটি প্রতিসম সাইফারে স্যুইচ করে, তবে এটি এমন একটি বিবরণ যা আপনার প্রশ্নের সাথে প্রাসঙ্গিক নয়।

[3] অনুমানযোগ্য, CA আপনার শংসাপত্রে স্বাক্ষর করার আগে আপনি আসলে কে তা যাচাই করে। যদি তারা তা না করে, তবে আমি কেবল গুগল ডটকমের জন্য একটি শংসাপত্র তৈরি করতে পারতাম এবং সিএতে স্বাক্ষর করতে বলি। সেই শংসাপত্রের সাহায্যে, আমি গুগল ডটকমের সাথে যে কোনও "সুরক্ষিত" সংযোগটি মাঝখানে করতে পারি। অতএব, বৈধতা পদক্ষেপটি সিএ পরিচালনার ক্ষেত্রে খুব গুরুত্বপূর্ণ একটি বিষয় is দুর্ভাগ্যক্রমে, এটি খুব স্পষ্ট নয় যে এই বৈধকরণ প্রক্রিয়াটি বিশ্বের শতাধিক সিএ-তে রয়েছে।

[4] মোজিলার বিশ্বস্ত CAগুলির তালিকা দেখুন ।


একটি প্রাইভেট কী কী?
Koray Tugay

আপনি উল্লেখ করতে ভুলে গেছেন যে সর্বজনীন কীটি আপনার সেভারের এনক্রিপ্ট করা ডেটা প্রথম স্থানে পিটি করার জন্য ওয়েবসাইটটিতে প্রেরিত শংসাপত্রের একটি অংশ।
মামদৌহ আলরামাদান

ধন্যবাদ @ মামদৌহালরামদান আমি এটি উল্লেখ সম্পাদনা করেছি।
মার্ক ই। হাজেস

2
@ মামদৌহলরামদান "পাবলিক কী ... তথ্য ডিক্রিপ্ট করার জন্য ওয়েবসাইটে পাঠানো হয়েছে"। ডেটা ডিক্রিপ্ট করার জন্য কীভাবে পাবলিক কী ব্যবহার করা যেতে পারে?
টেডি

আপনি ঠিক আছেন এটা পারে না। সর্বজনীন কী কেবলমাত্র প্রমাণীকরণের জন্য ব্যবহৃত হয়। দাবি এখানে যে মূল জোড়াটি এনক্রিপশন এবং ডিক্রিপশন জন্যও ব্যবহৃত হয় ভুল। একটি নিরাপদে আলোচনার জন্য সেশন কী ব্যবহার করা হয়।
লার্নের মারকুইস

53

HTTPS ক্লায়েন্ট (ব্রাউজার) এবং ওয়েব সার্ভারের মধ্যে এনক্রিপ্ট করা যোগাযোগ প্রদানের জন্য HTTP এবং SSL (সিকিউর সকেট স্তর) এর সংমিশ্রণ (অ্যাপ্লিকেশনটি এখানে হোস্ট করা আছে)।

কেন এটি প্রয়োজন?

এইচটিটিপিএস ডেটা এনক্রিপ্ট করে যা ব্রাউজার থেকে নেটওয়ার্কের মাধ্যমে সার্ভারে প্রেরণ করা হয়। সুতরাং, সংক্রমণ চলাকালীন কেউ ডেটা স্নিগ্ধ করতে পারে না।

ব্রাউজার এবং ওয়েব সার্ভারের মধ্যে কীভাবে এইচটিটিপিএস সংযোগ স্থাপন করা হয়?

  1. ব্রাউজারটি https: //payment.com- এ সংযোগ দেওয়ার চেষ্টা করে ।
  2. পেমেন্ট ডটকম সার্ভার ব্রাউজারে একটি শংসাপত্র প্রেরণ করে। এই শংসাপত্রে পেমেন্ট ডটকম সার্ভারের সর্বজনীন কী এবং কিছু প্রমাণ রয়েছে যে এই সর্বজনীন কীটি পেমেন্ট ডটকমের অন্তর্গত।
  3. এতে পেমেন্ট ডট কমের জন্য উপযুক্ত পাবলিক কী রয়েছে তা নিশ্চিত করার জন্য ব্রাউজার শংসাপত্রটি যাচাই করে।
  4. পেমেন্ট ডটকম সার্ভারের সংযোগের জন্য ব্রাউজারটি একটি এলোমেলো নতুন প্রতিসাম্য কী বেছে নেয় choo এটি কে কে পেমেন্ট.কমের সর্বজনীন কী অনুসারে এনক্রিপ্ট করে।
  5. পেমেন্ট ডট কম কে এর প্রাইভেট কী ব্যবহার করে ডিক্রিপ্ট করে। এখন ব্রাউজার এবং অর্থ প্রদানের সার্ভার উভয়ই কে জানেন, কিন্তু অন্য কেউ তা করে না।
  6. যে কোনও সময় ব্রাউজার পেমেন্ট.কম এ কিছু পাঠাতে চায়, এটি কে এর অধীনে এনক্রিপ্ট করে; পেমেন্ট ডটকম সার্ভার এটি প্রাপ্তির পরে ডিক্রিপ্ট করে। যে কোনও সময় পেমেন্ট ডটকম সার্ভার আপনার ব্রাউজারে কিছু প্রেরণ করতে চাইলে এটি কে এর অধীনে এনক্রিপ্ট করে

এই প্রবাহটি নিম্নলিখিত চিত্র দ্বারা প্রতিনিধিত্ব করা যেতে পারে: এখানে চিত্র বর্ণনা লিখুন


1
সেশন কীটি এনক্রিপ্ট করা এবং প্রেরণ এবং সার্ভারে এটি ডিক্রিপ্ট করার অংশটি সম্পূর্ণ এবং সম্পূর্ণ জঞ্জাল। সেশন কীটি কখনই প্রেরণ করা যায় না: এটি একটি সুরক্ষিত কী নেগোটিএওন অ্যালগরিদমের মাধ্যমে প্রতিষ্ঠিত। এই মত ননসেন্স পোস্ট করার আগে আপনার তথ্য পরীক্ষা করুন। আরএফসি 2246.
মারকুইস

কেন ব্রাউজার সার্ভারে ডেটা পোস্ট করার সময় সার্ভারের পাবলিক কী ব্যবহার করবে না, যখন পদক্ষেপ 4 এ এলোমেলো নতুন প্রতিসাম্য কী তৈরি করবে?
কেভিনবুই

1
@ কেভিনবুই কারণ সার্ভার থেকে প্রতিক্রিয়া পাঠানোর জন্য ক্লায়েন্টের কী কী লাগবে এবং অ্যাসিম্যাট্রিক এনক্রিপশন খুব ধীর গতির কারণ।
লার্নের মার্কুইস

3

আমি একটি ছোট ব্লগ পোস্ট লিখেছি যা প্রক্রিয়াটি সংক্ষেপে আলোচনা করে। একবার দেখে নিচে নির্দ্বিধায়।

এসএসএল হ্যান্ডশেক

এর থেকে একটি ছোট স্নিপেট নিম্নরূপ:

"ক্লায়েন্ট এইচটিটিপিএস-এর মাধ্যমে সার্ভারের কাছে একটি অনুরোধ করে। সার্ভার তার SSL শংসাপত্র + পাবলিক কী এর একটি অনুলিপি প্রেরণ করে its স্থানীয় বিশ্বস্ত সিএ স্টোরের সাথে সার্ভারের পরিচয় যাচাই করার পরে ক্লায়েন্ট একটি গোপন সেশন কী উত্পন্ন করে, সার্ভারের সর্বজনীন ব্যবহার করে এটি এনক্রিপ্ট করে কী এবং এটি প্রেরণ করে Server সার্ভারটি তার ব্যক্তিগত কীটি ব্যবহার করে গোপন সেশন কীটি ডিক্রিপ্ট করে এবং ক্লায়েন্টকে একটি স্বীকৃতি প্রেরণ করে Sec সুরক্ষিত চ্যানেল প্রতিষ্ঠিত। "


"স্থানীয় বিশ্বস্ত সিএ স্টোর দিয়ে সার্ভারের পরিচয় যাচাই করার পরে" - এটি কঠোরভাবে সত্য নয়। আমি স্ব-স্বাক্ষরিত শংসাপত্রটি ব্যবহার করতে পারি এবং এইচটিটিপিএস কাজ করবে - আমি একটি সার্ভারে একটি সুরক্ষিত এইচটিটিপিএস সংযোগ পেতে পারি । বিশ্বস্ত শংসাপত্রটি তখনই আসে যখন আমি নিশ্চিত করতে চাই যে আমি সঠিক সার্ভারের সাথে কথা বলছি ।
টেডি

সেশন কীটি এনক্রিপ্ট করা এবং প্রেরণ এবং সার্ভারে এটি ডিক্রিপ্ট করার অংশটি সম্পূর্ণ এবং সম্পূর্ণ জঞ্জাল। সেশন কীটি কখনই প্রেরণ করা যায় না: এটি একটি সুরক্ষিত কী নেগোটিএওন অ্যালগরিদমের মাধ্যমে প্রতিষ্ঠিত। এই মত ননসেন্স পোস্ট করার আগে আপনার তথ্য পরীক্ষা করুন। আরএফসি 2246.
মারকুইস

@ টেডি এটি সঠিক নয়। শংসাপত্র বিশ্বাসের পরীক্ষা করা SSL এর একটি প্রয়োজনীয় অংশ। এটি বাইপাস করা যেতে পারে তবে এটি সাধারণত কার্যকর হয়: স্ব-স্বাক্ষরিত শংসাপত্রগুলি এক ধরণের বা অন্য কোনও বিশেষ ব্যবস্থা না নিয়ে কাজ করে না।
লার্নের মারকুইস

2

মেহাসে ইতিমধ্যে বিশদে এটি ব্যাখ্যা করেছেন। আমি এই সিরিজে আমার 2 সেন্ট যোগ করব। আমার অনেকগুলি ব্লগপোস্ট এসএসএল হ্যান্ডশেক এবং শংসাপত্রগুলির চারপাশে ঘুরছে। এর বেশিরভাগ আইআইএস ওয়েব সার্ভারের চারদিকে ঘোরে যদিও পোস্টটি এখনও সাধারণভাবে এসএসএল / টিএলএস হ্যান্ডশেকের সাথে প্রাসঙ্গিক। আপনার রেফারেন্সের জন্য এখানে কয়েকটি দেওয়া হল:

শংসাপত্রএসএসএলকে একটি বিষয় হিসাবে বিবেচনা করবেন না । এগুলিকে 2 টি আলাদা বিষয় হিসাবে বিবেচনা করুন এবং তারপরে তারা কে মিলিয়ে কাজ করবেন তা দেখার চেষ্টা করুন। এটি আপনাকে প্রশ্নের উত্তর দিতে সহায়তা করবে।

শংসাপত্রের স্টোরের মাধ্যমে যোগাযোগের পক্ষগুলির মধ্যে বিশ্বাস স্থাপন করা

এসএসএল / টিএলএস যোগাযোগ পুরোপুরি বিশ্বাসের ভিত্তিতে কাজ করে। ইন্টারনেটে প্রতিটি কম্পিউটারের (ক্লায়েন্ট / সার্ভার) রুট সিএ এবং ইন্টারমিডিয়েট সিএর একটি তালিকা থাকে যা এটি বজায় রাখে। এগুলি পর্যায়ক্রমে আপডেট করা হয়। এসএসএল হ্যান্ডশেক চলাকালীন এটি আস্থা প্রতিষ্ঠার জন্য একটি রেফারেন্স হিসাবে ব্যবহৃত হয়। উদাহরণের জন্য, এসএসএল হ্যান্ডশেকের সময়, যখন ক্লায়েন্ট সার্ভারকে একটি শংসাপত্র সরবরাহ করে। সার্ভারটি এটি পরীক্ষা করার চেষ্টা করবে যে সিআরটি দিয়েছে তা সিএ এর তালিকায় উপস্থিত রয়েছে কিনা। যখন এটি এটি করতে পারে না, এটি ঘোষণা করে যে এটি শংসাপত্র চেইন যাচাইকরণ করতে অক্ষম ছিল। (এটি উত্তরের একটি অংশ It এটি এআইএর দিকেও নজর দেয়এর জন্য।) ক্লায়েন্ট সার্ভার শংসাপত্রের জন্য অনুরূপ যাচাইও করে যা এটি সার্ভার হ্যালোতে প্রাপ্ত হয়। উইন্ডোজ এ, আপনি পাওয়ারশেলের মাধ্যমে ক্লায়েন্ট ও সার্ভারের শংসাপত্রের স্টোরগুলি দেখতে পারেন। পাওয়ারশেল কনসোল থেকে নীচে সম্পাদন করুন।

পিএস শর্ট:> ls অবস্থান: কারেন্ট ইউজার স্টোরের নাম: {বিশ্বস্তপুব্লিশার, ক্লায়েন্টআথআইসুয়ার, রুট, ইউজারডিএস ...}

অবস্থান: লোকালমাচিন স্টোরের নাম: {বিশ্বস্ত পাবলিশার, ক্লায়েন্টআথআইসুয়ার, রিমোট ডেস্কটপ, রুট ...

ফায়ারফক্স এবং অপেরার মতো ব্রাউজারগুলি শংসাপত্র পরিচালনার জন্য অন্তর্নিহিত ওএসের উপর নির্ভর করে না। তারা তাদের নিজস্ব পৃথক শংসাপত্রের দোকান বজায় রাখে।

এসএসএল হ্যান্ডশেক সিমেট্রিক এবং সর্বজনীন কী ক্রিপ্টোগ্রাফি উভয়ই ব্যবহার করে। সার্ভারের প্রমাণীকরণ ডিফল্টভাবে ঘটে। ক্লায়েন্ট প্রমাণীকরণ alচ্ছিক এবং নির্ভর করে যদি সার্ভারের এন্ডপয়েন্টটি ক্লায়েন্টকে প্রমাণীকরণের জন্য কনফিগার করা হয় বা না। আমার ব্লগ পোস্টটি উল্লেখ করুন যেহেতু আমি এটি বিস্তারিতভাবে ব্যাখ্যা করেছি।

অবশেষে এই প্রশ্নের জন্য

এইচটিটিপিএস প্রোটোকল কীভাবে শংসাপত্রটি সনাক্ত করতে পারে? সমস্ত বিশ্বাস / এনক্রিপশন / প্রমাণীকরণের কাজ করে এমন শংসাপত্রগুলি হ'ল কেন এইচটিটিপি শংসাপত্রগুলির সাথে কাজ করতে পারে না?

শংসাপত্রগুলি কেবল একটি ফাইল যার ফর্ম্যাটটি X.509 স্ট্যান্ডার্ড দ্বারা সংজ্ঞায়িত করা হয় । এটি একটি বৈদ্যুতিন নথি যা কোনও যোগাযোগকারী দলের পরিচয় প্রমাণ করে। এইচটিটিপিএস = এইচটিটিপি + এসএসএল এমন একটি প্রোটোকল যা 2 পক্ষকে একে অপরের সাথে কীভাবে যোগাযোগ করা উচিত সে সম্পর্কে নির্দেশিকা নির্ধারণ করে।

অধিক তথ্য

  • শংসাপত্রগুলি বুঝতে আপনাকে শংসাপত্রগুলি কী তা বুঝতে হবে এবং শংসাপত্র পরিচালনা সম্পর্কেও পড়তে হবে। এগুলি গুরুত্বপূর্ণ।
  • এটি একবার বুঝতে পারলে টিএলএস / এসএসএল হ্যান্ডশেক দিয়ে এগিয়ে যান। আপনি এটির জন্য আরএফসি'র উল্লেখ করতে পারেন। তবে তারা কঙ্কাল যা নির্দেশিকাগুলি সংজ্ঞায়িত করে। আমার সহ বেশ কয়েকটি ব্লগপোস্ট রয়েছে যা এটি বিস্তারিতভাবে ব্যাখ্যা করে।

যদি উপরের ক্রিয়াকলাপটি করা হয়ে থাকে তবে আপনার শংসাপত্র এবং এসএসএল সম্পর্কে ন্যায্য ধারণা থাকবে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.