কেন একটি ওয়েব সার্ভারের সার্বজনীন কী শংসাপত্র একটি শংসাপত্র কর্তৃপক্ষের দ্বারা স্বাক্ষর করতে হবে?

অন্য কথায়, শংসাপত্র কর্তৃপক্ষের (কোনও ব্যবহারকারী দৃষ্টিকোণ থেকে) সার্বজনীন কী শংসাপত্রগুলি স্বাক্ষর না করার সুরক্ষা ঝুঁকি কী হবে? মানে, ডেটা এখনও এনক্রিপ্ট করা আছে ... মাঝখানে কোনও ব্যক্তি স্বাক্ষরবিহীন শংসাপত্র দিয়ে কী করতে পারে?

এইচটিটিপি ব্যবহার করার সময় এসএসএলের উদ্দেশ্যটি কেবল ট্র্যাফিক এনক্রিপ্ট করা নয়, ওয়েবসাইটটির মালিক কে তা প্রমাণীকরণ করা এবং যে কেউ নিজের ডোমেনটির সত্যতা এবং মালিকানা প্রমাণ করার জন্য সময় এবং অর্থ বিনিয়োগ করতে আগ্রহী ছিল।

এটি কেবল কোনও এনক্রিপশন নয়, সম্পর্ক ক্রয়ের মতো এবং সম্পর্কের জন্য একটি নির্দিষ্ট স্তরের বিশ্বাস বা অনুমান করে।

এটি বলেছিল, আমি কয়েক মাস আগে একই ধরণের প্রশ্ন জিজ্ঞাসা করেছি এবং যে প্রাথমিক উত্তরটি ফিরে এসেছিল তা হ'ল "এসএসএল কিছুটা কেলেঙ্কারী"

এমন একটি পরিস্থিতি কল্পনা করুন যেখানে আপনি জন স্মিথ নামে পরিচিত ব্যক্তিকে $ 1,000,000 প্রদান করবেন যার সাথে আপনি কখনও সাক্ষাত করেন নি বা যোগাযোগ করেননি। আপনাকে বলা হয় আপনি জনাকীর্ণ জনসমাবেশে তাঁর সাথে দেখা করতে পারেন। আপনি যখন তার সাথে দেখা করতে যান তখন আপনার নিশ্চিত হওয়ার জন্য কিছু উপায়ের প্রয়োজন হবে যে তিনিই হলেন প্রকৃতই আপনি যাকে খুঁজছেন, এবং জন স্মিথ বলে দাবি করা অন্য কোনও এলোমেলো ব্যক্তি নয় not আপনি কিছু সরকারী আইডি, একটি ব্যবসায়িক কার্ড চাইতে পারেন। আপনি হয়ত এমন একজন ব্যক্তিকে জিজ্ঞাসা করতে পারেন যিনি আসলে জন স্মিথের সাথে পরিচিত হয়েছিলেন তাকে সনাক্ত করতে সহায়তা করার জন্য।

একটি স্ব-স্বাক্ষরিত শংসাপত্র একটি সিস্টেমকে স্বতন্ত্রভাবে সনাক্ত করে, তবে সিস্টেমটি কে এটি বলে দাবি করে তা প্রমাণ করার জন্য এটি কিছুই করে না। আমি সহজেই একটি শংসাপত্রে স্ব-স্বাক্ষর করতে পারি এবং সার্ভারফલ્ટ.কম, গুগল ডটকম, বা আপনার ব্যাংক ডটকম হিসাবে দাবি করতে পারি। শংসাপত্র কর্তৃপক্ষগুলি মূলত কোনও শংসাপত্র যাচাই করতে ক্লায়েন্টের দ্বারা বিশ্বাসী এমন একটি তৃতীয় পক্ষ হিসাবে কাজ করে যা সাইটের মালিকানা দাবি করে এমন নামের জন্য এটি বৈধ।

এসএসএল ব্যবসাটি আসলে একটি কেলেঙ্কারী। কিছুটা বেশি, বাস্তবে, যখন আপনি কিছু ক্রিপ্টোগ্রাফিক-আকর্ষণীয় ডেটার জন্য বাইট প্রতি প্রায় 20 পি প্রদান করেন। আপনি যা প্রদান করছেন তা হ'ল যে কোনও সিএর জন্য আপনি নিজের শংসাপত্রটি স্বাক্ষর করতে যে কোনও একটি প্রাইভেট কী দিয়ে প্রমাণ করার পরে আপনি সত্যই যে ডোমেন / হোস্টের নামটি শংসাপত্রের জন্য তা ব্যবহার করার অধিকারী। ফারসিকার যেমন বলেছেন, এটি একটি বিশ্বাসের সম্পর্ক - সিএ আপনাকে বিশ্বাস করে (তারা আপনাকে পরীক্ষা করার পরে), বিশ্বের ওয়েব ব্রাউজারগুলি সিএ (সাধারণত) বিশ্বাস করে এবং তাই বিশ্বজগতে ওয়েব ব্রাউজারগুলি আপনার শংসাপত্রকে বিশ্বাস করবে। এবং আমাকে বর্ধিত বৈধকরণ সম্পর্কে আরম্ভ করবেন না ...