উত্তর:
আকর্ষণীয় প্রশ্ন, এটি আমার মতে ব্যবহারের উপর নির্ভর করে। আপনি সেশনটির শর্তে এখনও সুরক্ষিত রয়েছেন এনক্রিপ্ট করা তবে আপনি যদি আপনার সিএ রুট সার্টটি ব্যবহারকারী / ক্লায়েন্টগুলিতে বিতরণ না করেন তবে এটি সঠিক এসএসএল সার্টিফিকেট আপনার কাছে উপস্থাপন করেছে কিনা তা বলার উপায় নেই। অভ্যন্তরীণ পরীক্ষার জন্য / দেব প্রকল্পগুলির জন্য এটি দুর্দান্ত কাজ করবে, আপনি একটি মূল সিটি শংসাপত্র তৈরি করেন যা আপনি আপনার ব্যবহারকারীদের বিতরণ করেন (উইন্ডোজের গ্রুপ পলিসির মাধ্যমে এবং লিনাক্স / বিএসডি-তে ওপেনসেল কমান্ড লাইনের মাধ্যমে করা যেতে পারে) এবং তার জন্য এই রুট সার্টটি ব্যবহার করুন আপনার সিএসআর স্বাক্ষর। ব্যবহারকারীরা কোনও সতর্কতা বা কিছুই দেখতে পাবেন না এবং আপনি জানেন যে শংসাপত্রটি আপনার অভ্যন্তরীণ সিএ স্বাক্ষর করেছে is
বাহ্যিক সাইটগুলির জন্য যেখানে আপনি এটির আশ্বাস দিতে পারবেন না, আমি এখনও বলব যদি আপনি সংযোগের উপর পাসওয়ার্ড বা অন্য সংবেদনশীল তথ্য প্রেরণ করছেন তবে স্ব স্বাক্ষরিত সার্টিফিকেট কোনও এসএসএলের চেয়ে ভাল।
তবে, প্লাস সাইডে প্রচুর পরিমাণে সস্তা "বাণিজ্যিক" শংসাপত্র জারিকারী রয়েছে, তাদের মধ্যে GoDaddy অন্যতম। আপনি প্রতি বছর প্রায় 40 ইউরোর জন্য একটি শংসাপত্র পেতে পারেন। গোডাডি এমনকি ওপেনসোর্স প্রকল্পের ওয়েব সাইটগুলিতে বিনামূল্যে শংসাপত্র সরবরাহ করে।
আমি একসময় সংকীর্ণ প্রযুক্তিগত কারণে, এবং একবার সাধারণ ভিত্তিতে একমত হব না।
সংকীর্ণ প্রযুক্তিগত কারণ হ'ল ওপ স্ব-স্বাক্ষরিত শংসাপত্রগুলির বিষয়ে জিজ্ঞাসা করেছিলেন, এবং আরও বেশ কয়েকটি উত্তর বেসরকারী সিএ দ্বারা স্বাক্ষরিত শংসাপত্রগুলির উল্লেখ করে, যা কিছুটা আলাদা বিষয় different তবে খুব আলাদা নয়, তাই এটি পাস করার ক্ষেত্রে কেবল একটি নোট।
প্রধান আপত্তিটি হ'ল আমি মনে করি যে বাণিজ্যিকভাবে স্বাক্ষরিত শংসাপত্রগুলি যতক্ষণ না তুচ্ছ ব্যয়ের চেয়ে বেশি হয় - এবং এই গ্রহের অনেক লোকের জন্য বছরে $ 40 ডলার তুচ্ছ ব্যয় নয় - স্ব-স্বাক্ষরিত শংসাপত্রগুলির প্রধান ভূমিকা পালন করতে হবে ইন্টারনেট সুরক্ষায়, তাদের সীমাবদ্ধতা স্বীকৃত হয়ে থাকে ।
একটি স্ব-স্বাক্ষরিত শংসাপত্র আমার known_hosts
ফাইল থেকে একটি এসএস কী এর মতো । স্বাধীন যাচাই না করে, এটি আমাকে নিশ্চিত করতে পারে না যে আমি যে সিস্টেমের সাথে আমার বিশ্বাস, আমি তার সাথে কথা বলছি; তবে এটি আমাকে নিশ্চিত করতে পারে যে আমি এখন যে সিস্টেমের সাথে কথা বলছি তা হ'ল একই সিস্টেমের সাথে আমি গতবারের সাথে কথা বলেছিলাম ভেবেছিলাম আমি এর সাথে কথোপকথন করছি। আমরা সমস্ত সময় ssh কীগুলি ক্যাশে করি এবং আমি এখনও এমন কোনও সিস্টেম প্রশাসকের সাথে দেখা পাই নি যা তার known_hosts
ফাইলের পাবলিক কীগুলির একটি ভগ্নাংশের চেয়ে স্বতন্ত্রভাবে যাচাই করেছে ।
স্ব-স্বাক্ষরিত শংসাপত্রগুলি (এবং এই ক্ষেত্রে, সাধারণ-বৈধ CA দ্বারা স্বাক্ষরিত শংসাপত্রগুলি) কোনও এসএসএলের চেয়ে মোটামুটি ভাল, যতক্ষণ না লোকেরা বুঝতে পারে যে তারা তাদের যাচাই না করে কেবল তারা নিজেরাই যোগাযোগটি সুরক্ষিত করে, সার্ভার ডিএনএস রেকর্ডের অন্য প্রান্তে এবং বর্তমানে লাইনে থাকা কোনও পুরুষের মধ্যে রয়েছে। যদি তারা স্বতন্ত্রভাবে শংসাপত্রটি যাচাই করে তবে প্রমাণীকরণ এবং এনক্রিপশন কোনও স্বীকৃত সিএ স্বাক্ষরিত শংসাপত্রের দ্বারা সরবরাহিত কমপক্ষে তত শক্ত strong
তাছাড়া, যারা এক-এবং-শুধুমাত্র ইন্টারনেট নিরাপত্তা সর্বব্যাধিহর ঔষধ হিসাবে একটি স্বীকৃত সিএ দ্বারা স্বাক্ষরিত সার্টিফিকেট ব্যবহার উপস্থাপন তবেই যেমন বিষয় সম্পর্কে কঠিন মনে করার প্রয়োজন হতে পারে মান মোজিলা বান্ডিল চীনা সরকারের স্বাক্ষরের সিএ অন্তর্ভুক্তি , এবং প্রতারণামূলক এসএসএল শংসাপত্রগুলি কমোডো স্বাক্ষরিত ।
known_hosts
@ ম্যাডহ্যাটারের উল্লেখ করা হয় না সে সম্পর্কে কোনও ধারণা নেই।
বাহ্যিক সাইটগুলির জন্য, যেখানে ব্যবহারকারীরা আপনার সিএ শংসাপত্র ইনস্টল করেনি (যা সর্বাধিক সাধারণ বিষয়), হ্যাঁ, একটি স্ব-স্বাক্ষরিত শংসাপত্রটি সুরক্ষার একটি মিথ্যা অনুভূতি দেয় এবং সুতরাং এটি অকেজো থেকেও খারাপ:
প্রথমত, পূর্ব-ইনস্টল করা সিএ শংসাপত্র ব্যতীত ব্যবহারকারী কীভাবে যাচাই করবেন যে শংসাপত্রটি আসলেই আপনার কাছ থেকে এসেছে, আক্রমণকারীর কাছ থেকে নয়? শংসাপত্রের ক্ষেত্রগুলি (সিএন, ফিঙ্গারপ্রিন্টগুলি ইত্যাদি) মিলিয়ে অবশ্যই - তবে কিসের বিরুদ্ধে? তাই এখন আপনি কি এই সার্টিফিকেট যাচাই করার জন্য একটি পার্শ্ব চ্যানেলের প্রয়োজন - এবং কয়েকটি ক্ষেত্রে যা আমি দেখেছি যে, সমর্থন লাইন অপারেটরদের (যারা যাচাইয়ের জন্য পার্শ্ব চ্যানেল হিসেবে দায়িত্ব পালন করেন থাকা উচিত) কোন খেই কি আছে যে মানে অনুমিত হয়; এছাড়াও, এই জাতীয় পার্শ্ব চ্যানেল পরিচালনা করা বিশ্বস্ত-সিএ-স্বাক্ষরিত শংসাপত্র পাওয়ার চেয়ে ব্যয়বহুলতার অর্ডার বেশি, সুতরাং ব্যবহারকারীকে অন্ধভাবে আপনাকে বিশ্বাস করতে হবে।
দ্বিতীয়ত, ব্যবহারকারীদের যে ভীতিজনক সতর্কতা পাওয়া যায় তা হ'ল কারণের জন্য ভীতিজনক: যেহেতু ব্যবহারকারী উপস্থাপিত শংসাপত্রটি যাচাই করতে পারবেন না / সেহেতু তারা নিরাপদে ডেটা এলবনিয়ান হ্যাক্সক্স0 ডি ডি00 ডিজে স্থানান্তরিত করতে পারে ।
তৃতীয়ত, সব ও খারাপ আপনি ব্যবহারকারীদের desensitizing হয় : "ভাল, তারা আমাকে বলেছিল যে আমি যে সতর্কবাণী উপেক্ষা করা উচিত https://mysite.example.com/ , এবং একটি নেহাই করা হয়নি আমার মাথায় ড্রপ, এবং আমার গোল্ডফিশ হয় না মারা যায়; sooooo, এর অর্থ হ'ল এটি অন্য একটি সত্যিকারের অর্থ ব্যতীত সতর্কতা বাক্স, সুতরাং আমি যখনই এই বাক্সটির মুখোমুখি হই তখন আমি এটিকে উপেক্ষা করতে পারি - যাইহোক, আমি সেই দুর্দান্ত লক আইকনটি পেয়েছি এবং এটি গুরুত্বপূর্ণ ""
অন্য কথায়, সুরক্ষার স্তরটি তুলনামূলকভাবে সরল এইচটিটিপি-র সাথে (ওয়্যার স্নিফিং ব্যতীত: যদিও ট্রানজিটে ডেটা এনক্রিপ্ট করা থাকে, এটি এন্ডপয়েন্ট ভেরিফিকেশন ব্যতীত একটি রক্তস্বল্প বৈশিষ্ট্য) তবে সুরক্ষার অনুভূতিটি অযৌক্তিকভাবে উচ্চ । খারাপ গাড়ী উপমা: "আমার কাছে এবিএস রয়েছে, তাই আমি এখন খারাপ অবস্থায় আরও নিরাপদে গাড়ি চালাতে পারি" - এ বিএস ব্যতীত গাড়ির বিক্রয় ব্রোশিওরটিতে কেবল গাড়ীতে উপস্থিত না হয়েই উপস্থিত থাকে।
প্রস্তাবিত পাঠ: ওডাব্লিউএসপি এসএসএল সেরা অনুশীলন
টিএল; ডিআর: জনসাধারণের মুখোমুখি সাইটগুলিতে স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করে আপনি নেটকে আরও খারাপ স্থান করে তুলছেন, একবারে এক ক্লুলেস ব্যবহারকারী।
নির্ভর করে। আপনি যদি ভাবেন যে এটি আপনাকে আরও সুরক্ষিত করে তোলে তবে এটি আপনার ঝুঁকি বাড়ায় যেহেতু আপনি আপনার ভ্রান্ত নিরাপত্তার বোধ দিয়ে ঝুঁকিপূর্ণ জিনিসগুলি বেছে নেবেন। যদি আপনি এটি HTTP- র সমতুল্যভাবে আচরণ করেন তবে আমি বলব আপনি কিছুটা বেশি সুরক্ষিত।
এসএসএল / এইচটিটিপিএস ব্যতীত আপনার নেটওয়ার্কে ওয়্যারশার্ক সহ যে কেউ (বা যে কেউ লগ ইন করছেন তার স্থানীয় নেটওয়ার্ক) তুচ্ছভাবে শুনতে এবং সাধারণ পাঠ্য হিসাবে প্রেরণ করা ব্যবহারকারী নাম / পাসওয়ার্ড ক্যাপচার করতে পারে।
স্ব-স্বাক্ষরিত এসএসএল দিয়ে তারা কেবল শুনতে পারবেন না, তবে এখন আপনার সাইটের নকল করতে হবে, কোনও ব্যক্তিকে এটি মাঝারি (এমআইটিএম) আক্রমণ করার জন্য সম্ভাব্যভাবে ডিএনএস পরিবর্তন করতে হবে। এটি এখনও একটি হুমকি, তবে তাদের পক্ষে সম্পাদন করা উল্লেখযোগ্যভাবে আরও কঠিন।
স্ব-স্বাক্ষরিত এসএসএল ব্যবহারের ক্ষেত্রে অন্য সমস্যাটি হ'ল অনেক ব্রাউজারগুলি স্ব-স্বাক্ষরিত শংসাপত্রগুলিকে একটি প্রধান সুরক্ষা হুমকি হিসাবে বিবেচনা করে এবং একটি দৈত্য লাল পৃষ্ঠায় প্রবেশ করার আগে আপনাকে (যেমন, ক্রোম) সতর্ক করে দেয়। http://www.sslshopper.com/article-ssl-certificates-in-google-chrome.html এটি একটি বড় অসুবিধা হতে পারে।
সুতরাং নীচের লাইনটি হ'ল: আপনি যদি এমন কিছু চালান যা বিশেষভাবে সুরক্ষিত হওয়ার দরকার নেই (যেমন, কোনও ক্রেডিট কার্ডের ডেটা নেই, কোনও সামাজিক সুরক্ষা # নেই) এবং সঠিক শংসাপত্রের সামর্থ্য না রাখতে পারে, তবে স্ব-স্বাক্ষরিত শংসাপত্রটি কিছুটা বোঝাতে পারে (অন্যান্য নেটওয়ার্ক ব্যবহারকারীদের সহজেই তাদের লগ-ইন তথ্য স্নিগ্ধ করা থেকে বিরত রাখতে বলা)।
এটি "সুরক্ষা" দিয়ে আপনি কী বোঝাতে চান তা নির্ভর করে এবং এর পরিমাণটি।
উদাহরণস্বরূপ, আপনার ব্রাউজারটি ডিফল্টরূপে গৃহীত সিএর সেট নিয়ে আসে। এর অর্থ, এই সিএ দ্বারা প্রদত্ত যে কোনও শংসাপত্রটি আপনার ব্রাউজারটি গ্রহণ করবে (যতক্ষণ না এটি ডিএনএস নামের সাথে মেলে)। এখন, কল্পনা করুন কিছু দুষ্ট সরকার একটি সিএর মালিকানাধীন, বা CA আপনি যে সাইট পরিদর্শন করছেন তার একটি শংসাপত্র জারি করতে বাধ্য করতে পারে। তারপরে, একটি এমআইটিএম করা খুব সহজ: তারা আপনার সংযোগের প্রক্সি করতে পারে, আপনার ব্রাউজারে তাদের কাছে থাকা শংসাপত্র প্রেরণ করে এবং আপনার ব্রাউজারটি এটি গ্রহণ করবে, যেহেতু এটি "বিশ্বস্ত" সিএ থেকে আসে। যতক্ষণ না তারা ডিএনএস-স্বচ্ছ হয় (যা এমআইটিএম এর ভিত্তি) এটি ঠিক আছে।
সুতরাং, "গৃহীত সিএর তালিকা" মূলত একটি বড় সুরক্ষা গর্ত, যতক্ষণ না এই সিএর মধ্যে কেউ কোনও খারাপ সরকারকে সহযোগিতা করে। নিজের সিএ থাকা অনেক ভাল।
অবশ্যই আপনি এটি আপনার সংস্থায় বা আপনার হোম সার্ভারে করতে পারেন, কারণ আপনি নিজের সিএ শংসাপত্রটি ক্লায়েন্টের মধ্যে ইনস্টল করতে পারেন, যা আপনিও নিয়ন্ত্রণ করেন। সর্বজনীন সার্ভারে আপনি কোনও ব্যবহারকারীর সাথে কোনও ব্যতিক্রম যুক্ত করতে বা আপনার শংসাপত্র যুক্ত করতে বলার সাথে মোকাবিলা করতে পারবেন না।
সুতরাং, এটি "সুরক্ষা" এবং আপনার সুযোগের জন্য আপনি কী বোঝাতে চান তা নির্ভর করে। আপনি যদি ক্লায়েন্টদের মালিক হন তবে, সুরক্ষিত স্বাক্ষর করা নিরাপদ, যতক্ষণ না আপনি ক্লায়েন্টকে নিজের সিএর শংসাপত্র ইনস্টল করেন install
অবশ্যই, আপনি কোনও পাবলিক ওয়েবসাইটে এটি করতে পারবেন না যেহেতু আপনি সমস্ত ক্লায়েন্টের মালিক নন। সুতরাং আপনি বিভিন্ন আচরণের একটি ঝুঁকি পাবেন, যা নিরাপদ নয়।