কোনও স্ব-স্বাক্ষরিত এসএসএল শংসাপত্র কী সুরক্ষার একটি মিথ্যা অনুভূতি?


30

কোনও স্ব-স্বাক্ষরিত এসএসএল শংসাপত্র কী সুরক্ষার কোনও মিথ্যা ধারণা?

আপনি যদি শ্রুতিমধুর হয়ে থাকেন তবে ব্যবহারকারী সর্বদা তার মতোই শংসাপত্রটি গ্রহণ করবেন।

উত্তর:


25

আকর্ষণীয় প্রশ্ন, এটি আমার মতে ব্যবহারের উপর নির্ভর করে। আপনি সেশনটির শর্তে এখনও সুরক্ষিত রয়েছেন এনক্রিপ্ট করা তবে আপনি যদি আপনার সিএ রুট সার্টটি ব্যবহারকারী / ক্লায়েন্টগুলিতে বিতরণ না করেন তবে এটি সঠিক এসএসএল সার্টিফিকেট আপনার কাছে উপস্থাপন করেছে কিনা তা বলার উপায় নেই। অভ্যন্তরীণ পরীক্ষার জন্য / দেব প্রকল্পগুলির জন্য এটি দুর্দান্ত কাজ করবে, আপনি একটি মূল সিটি শংসাপত্র তৈরি করেন যা আপনি আপনার ব্যবহারকারীদের বিতরণ করেন (উইন্ডোজের গ্রুপ পলিসির মাধ্যমে এবং লিনাক্স / বিএসডি-তে ওপেনসেল কমান্ড লাইনের মাধ্যমে করা যেতে পারে) এবং তার জন্য এই রুট সার্টটি ব্যবহার করুন আপনার সিএসআর স্বাক্ষর। ব্যবহারকারীরা কোনও সতর্কতা বা কিছুই দেখতে পাবেন না এবং আপনি জানেন যে শংসাপত্রটি আপনার অভ্যন্তরীণ সিএ স্বাক্ষর করেছে is

বাহ্যিক সাইটগুলির জন্য যেখানে আপনি এটির আশ্বাস দিতে পারবেন না, আমি এখনও বলব যদি আপনি সংযোগের উপর পাসওয়ার্ড বা অন্য সংবেদনশীল তথ্য প্রেরণ করছেন তবে স্ব স্বাক্ষরিত সার্টিফিকেট কোনও এসএসএলের চেয়ে ভাল।

তবে, প্লাস সাইডে প্রচুর পরিমাণে সস্তা "বাণিজ্যিক" শংসাপত্র জারিকারী রয়েছে, তাদের মধ্যে GoDaddy অন্যতম। আপনি প্রতি বছর প্রায় 40 ইউরোর জন্য একটি শংসাপত্র পেতে পারেন। গোডাডি এমনকি ওপেনসোর্স প্রকল্পের ওয়েব সাইটগুলিতে বিনামূল্যে শংসাপত্র সরবরাহ করে।


আমরা ঠিক তাই করি। সতর্কতা অবলম্বন করুন, যদিও সস্তা শংসাপত্র সহ। কিছুগুলির পরিবর্তে বিজোড় রুট সিএ রয়েছে এবং এগুলি সবগুলি ব্রাউজারের সাথে প্রেরিত মূল সিটি শংসাপত্রের সংগ্রহে নেই in
ওল্ফগ্যাংজ

4
"স্বাক্ষরিত শংসাপত্রের তুলনায় মোটেও কোনও এসএসএলের চেয়ে ভাল" - যদি আপনি যাচাই করেন যে এটি আপনার শংসাপত্র, এবং কোনও এমআইটিএম সরবরাহ করে না। সত্যি কথা, একজন সর্বশেষ ব্যবহারকারী কখন এটি করেছিলেন? (আমি সন্দেহ করি যে উত্তরটি নীল চাঁদ এবং উড়ন্ত শূকরগুলির সাথে জড়িত থাকবে) অন্য কথায়, আপনার সিএ শংসাপত্রগুলি ব্যবহারকারীদের মধ্যে বিতরণ না করে একটি স্ব-স্বাক্ষরিত এসএসএল সার্টি ব্যবহার করে, আপনি ব্যবহারকারীদের যে ভীতিজনক সতর্কতা পেয়েছেন তা অস্বীকার করছেন - তারা শিখবে এটিকে ক্লিক করার জন্য, "পাশাপাশি, তারা আমাকে বলেছিল mysite.example.com- এ সতর্কতা উপেক্ষা করতে, যাতে আমি এটিকে সর্বত্র উপেক্ষা করতে পারি; দেখুন, একটি লক আইকন!" ভয়েলা, ভ্রান্ত সুরক্ষা!
পিসকভোর

7
@ পিসকোভর, আসলে এটি ব্রাউজারের দোষ। প্রথমত, ব্রাউজারগুলি সাধারণত অজানা স্ব-স্বাক্ষরিত শংসাপত্রগুলি "স্থায়ীভাবে গ্রহণের" উপায় সরবরাহ করে না যাতে ব্যবহারকারী প্রতিটি লগ-ইন করে নিজেকে বিপদগ্রস্থ না করে। দ্বিতীয়ত, ব্রাউজারগুলি পুরানো প্লেইন এইচটিটিপি ব্যবহারকে নিরুৎসাহিত করে না, সুরক্ষার একটি মিথ্যা ধারণা তৈরি করে। সুতরাং, সুরক্ষা এবং ব্যবহারকারীর সচেতনতায় উভয়ই এইচটিটিপিএস সর্বদা এইচটিটিপিএসের চেয়ে খারাপ (কমপক্ষে তারা সতর্কতাটি পান!)।
রোটসর

1
@ রোটসর: প্রথমত, অপেরাতে এই বৈশিষ্ট্যটি রয়েছে যা আপনি বিল্ট-ইন বর্ণনা করেছেন, এফএফটির শংসাপত্রের পেট্রোল রয়েছে (যা কমপক্ষে শংসাপত্র পরিবর্তনের সতর্ক করে)। এও লক্ষ করুন যে এসএসএলের সমস্ত কিছুই ব্রাউজার নয় (আইএমএপিএস ইত্যাদি)। দ্বিতীয়ত, এইচটিটিপি-র বিদ্যমান আধিক্যগুলি কীভাবে কেবল ব্রাউজারদের দোষে? (এবং না, এইচটিটিপিএস-কেবল ব্রাউজারগুলি কখনই ধরা পড়েনি, কারণ তাদের সাথে ব্রাউজ করার জন্য খুব ছোট নেট ছিল)। তৃতীয়, "তারা সতর্কতা পেয়েছে" দরকারী হবে, যদি কেবল ব্যবহারকারীরা এটি পড়তে পারে - এবং অন্ধভাবে "এগ্রিমেন্ট" ক্লিক না করে এটিকে দূরে সরিয়ে দেয়। "মেনে নেওয়ার মানে বোঝা" বিকাশকারীদের ভাগ করা মায়া।
পিসকভোর

1
@ পিসকভোর, কিছু ব্রাউজারগুলি সেই বৈশিষ্ট্যটি সরবরাহ করে তা জেনে রাখা ভাল। এইচটিটিপি হিসাবে, আমি কী করতে হবে তা বলতে পারছি না (এইচটিটিপি অস্বীকার করা অবশ্যই কোনও বিকল্প নয়) তবে এসএসএল ব্যতীত স্ব-স্বাক্ষরিত এসএসএল-এর সাথে সুরক্ষার সাথে সম্পর্কিত আরও সতর্কতা থাকা অবশ্যই ভুল এবং ব্রাউজারগুলি ' দোষ!
রোটসর

12

আমি একসময় সংকীর্ণ প্রযুক্তিগত কারণে, এবং একবার সাধারণ ভিত্তিতে একমত হব না।

সংকীর্ণ প্রযুক্তিগত কারণ হ'ল ওপ স্ব-স্বাক্ষরিত শংসাপত্রগুলির বিষয়ে জিজ্ঞাসা করেছিলেন, এবং আরও বেশ কয়েকটি উত্তর বেসরকারী সিএ দ্বারা স্বাক্ষরিত শংসাপত্রগুলির উল্লেখ করে, যা কিছুটা আলাদা বিষয় different তবে খুব আলাদা নয়, তাই এটি পাস করার ক্ষেত্রে কেবল একটি নোট।

প্রধান আপত্তিটি হ'ল আমি মনে করি যে বাণিজ্যিকভাবে স্বাক্ষরিত শংসাপত্রগুলি যতক্ষণ না তুচ্ছ ব্যয়ের চেয়ে বেশি হয় - এবং এই গ্রহের অনেক লোকের জন্য বছরে $ 40 ডলার তুচ্ছ ব্যয় নয় - স্ব-স্বাক্ষরিত শংসাপত্রগুলির প্রধান ভূমিকা পালন করতে হবে ইন্টারনেট সুরক্ষায়, তাদের সীমাবদ্ধতা স্বীকৃত হয়ে থাকে

একটি স্ব-স্বাক্ষরিত শংসাপত্র আমার known_hostsফাইল থেকে একটি এসএস কী এর মতো । স্বাধীন যাচাই না করে, এটি আমাকে নিশ্চিত করতে পারে না যে আমি যে সিস্টেমের সাথে আমার বিশ্বাস, আমি তার সাথে কথা বলছি; তবে এটি আমাকে নিশ্চিত করতে পারে যে আমি এখন যে সিস্টেমের সাথে কথা বলছি তা হ'ল একই সিস্টেমের সাথে আমি গতবারের সাথে কথা বলেছিলাম ভেবেছিলাম আমি এর সাথে কথোপকথন করছি। আমরা সমস্ত সময় ssh কীগুলি ক্যাশে করি এবং আমি এখনও এমন কোনও সিস্টেম প্রশাসকের সাথে দেখা পাই নি যা তার known_hostsফাইলের পাবলিক কীগুলির একটি ভগ্নাংশের চেয়ে স্বতন্ত্রভাবে যাচাই করেছে ।

স্ব-স্বাক্ষরিত শংসাপত্রগুলি (এবং এই ক্ষেত্রে, সাধারণ-বৈধ CA দ্বারা স্বাক্ষরিত শংসাপত্রগুলি) কোনও এসএসএলের চেয়ে মোটামুটি ভাল, যতক্ষণ না লোকেরা বুঝতে পারে যে তারা তাদের যাচাই না করে কেবল তারা নিজেরাই যোগাযোগটি সুরক্ষিত করে, সার্ভার ডিএনএস রেকর্ডের অন্য প্রান্তে এবং বর্তমানে লাইনে থাকা কোনও পুরুষের মধ্যে রয়েছে। যদি তারা স্বতন্ত্রভাবে শংসাপত্রটি যাচাই করে তবে প্রমাণীকরণ এবং এনক্রিপশন কোনও স্বীকৃত সিএ স্বাক্ষরিত শংসাপত্রের দ্বারা সরবরাহিত কমপক্ষে তত শক্ত strong

তাছাড়া, যারা এক-এবং-শুধুমাত্র ইন্টারনেট নিরাপত্তা সর্বব্যাধিহর ঔষধ হিসাবে একটি স্বীকৃত সিএ দ্বারা স্বাক্ষরিত সার্টিফিকেট ব্যবহার উপস্থাপন তবেই যেমন বিষয় সম্পর্কে কঠিন মনে করার প্রয়োজন হতে পারে মান মোজিলা বান্ডিল চীনা সরকারের স্বাক্ষরের সিএ অন্তর্ভুক্তি , এবং প্রতারণামূলক এসএসএল শংসাপত্রগুলি কমোডো স্বাক্ষরিত


হায়, "বিশ্বস্ত CA" মডেলটি আসলেই ভেঙে গেছে (এবং বহু বছর ধরে রয়েছে); দুর্ভাগ্যক্রমে, এটি দূরে যাচ্ছে না (এবং এটি প্রতিস্থাপনের জন্য ভাল কিছু আর নেই)। সর্বদা হিসাবে, এসএসএল এবং বিশ্বস্ত সিএগুলি যাদুকরী সুরক্ষা পিক্সির ধুল নয়; ব্যবহারকারীর সক্রিয়ভাবে সুরক্ষা বজায় রাখা দরকার - যা বেশিরভাগ অংশে একটি বরং উন্মাদ ধারণা।
পিসকভোর

2
আপনার ব্যবহারকারীরা কি বর্তমান ডিএনএস সার্ভারে (ক্যাশে বিষক্রিয়া হওয়ার সম্ভাবনা সহ) এবং যে ডিভাইসটি তারা আঘাত করছেন সেগুলির প্রতি তাদের পথের অখণ্ডতায় তাদের আত্মবিশ্বাসের স্তরের শিক্ষিত মূল্যায়ন করতে সক্ষম? ডিএনএস কী তা আমার জানা নেই, এমপিএলএসের মাধ্যমে অন্য কোনও সাইটের সাথে সংযুক্ত অন্য কোনও রাজ্যের সার্ভারের সাথে তাদের সংযোগ সম্পর্কে শিক্ষিত সুরক্ষা সিদ্ধান্ত নিতে খুব কম সক্ষম, যা তারা ক্লায়েন্ট ভিপিএন-এর মাধ্যমে ব্যবহারকারীর সাথে সংযুক্ত, যা তারা এনক্রিপ্ট না করা কফি শপ ওয়াইফাইয়ের মাধ্যমে চালু করুন। তাদের সেই দায়িত্ব দেওয়া থেকে বিরত থাকুন।
শেন ম্যাডেন

2
@ শেন ম্যাডেন: একটি ক্ষেত্র যেখানে এটি সম্ভব এটি প্রশাসনের ওয়েব ফ্রন্টএন্ডস - যেমন পিএইচপিএমওয়াই অ্যাডমিন (বা এইচটিপিএসের চেয়ে কম ডিগ্রি পর্যন্ত এসভিএন)। ব্যবহারকারীর সংখ্যা সীমিত থাকে এবং এগুলিতে কিছু চিহ্নের উল্লেখযোগ্য অংশ থাকে । আমি আমার দাদা-দাদী কোনও এসএসএল শংসাপত্রের সতর্কবার্তাটির মাথা বা লেজ তৈরি করার আশা করব না, তবে আমি অবশ্যই সহকর্মী সিসাদমিনের এটি প্রত্যাশা করব, বিশেষত যদি এটি সার্ভারের নিয়ন্ত্রণে থাকে। একটি বাগানের বিভিন্ন ব্যবহারকারীর known_hosts@ ম্যাডহ্যাটারের উল্লেখ করা হয় না সে সম্পর্কে কোনও ধারণা নেই।
পিসকভোর

8

বাহ্যিক সাইটগুলির জন্য, যেখানে ব্যবহারকারীরা আপনার সিএ শংসাপত্র ইনস্টল করেনি (যা সর্বাধিক সাধারণ বিষয়), হ্যাঁ, একটি স্ব-স্বাক্ষরিত শংসাপত্রটি সুরক্ষার একটি মিথ্যা অনুভূতি দেয় এবং সুতরাং এটি অকেজো থেকেও খারাপ:

  • প্রথমত, পূর্ব-ইনস্টল করা সিএ শংসাপত্র ব্যতীত ব্যবহারকারী কীভাবে যাচাই করবেন যে শংসাপত্রটি আসলেই আপনার কাছ থেকে এসেছে, আক্রমণকারীর কাছ থেকে নয়? শংসাপত্রের ক্ষেত্রগুলি (সিএন, ফিঙ্গারপ্রিন্টগুলি ইত্যাদি) মিলিয়ে অবশ্যই - তবে কিসের বিরুদ্ধে? তাই এখন আপনি কি এই সার্টিফিকেট যাচাই করার জন্য একটি পার্শ্ব চ্যানেলের প্রয়োজন - এবং কয়েকটি ক্ষেত্রে যা আমি দেখেছি যে, সমর্থন লাইন অপারেটরদের (যারা যাচাইয়ের জন্য পার্শ্ব চ্যানেল হিসেবে দায়িত্ব পালন করেন থাকা উচিত) কোন খেই কি আছে যে মানে অনুমিত হয়; এছাড়াও, এই জাতীয় পার্শ্ব চ্যানেল পরিচালনা করা বিশ্বস্ত-সিএ-স্বাক্ষরিত শংসাপত্র পাওয়ার চেয়ে ব্যয়বহুলতার অর্ডার বেশি, সুতরাং ব্যবহারকারীকে অন্ধভাবে আপনাকে বিশ্বাস করতে হবে।

  • দ্বিতীয়ত, ব্যবহারকারীদের যে ভীতিজনক সতর্কতা পাওয়া যায় তা হ'ল কারণের জন্য ভীতিজনক: যেহেতু ব্যবহারকারী উপস্থাপিত শংসাপত্রটি যাচাই করতে পারবেন না / সেহেতু তারা নিরাপদে ডেটা এলবনিয়ান হ্যাক্সক্স0 ডি ডি00 ডিজে স্থানান্তরিত করতে পারে ।

  • তৃতীয়ত, সব ও খারাপ আপনি ব্যবহারকারীদের desensitizing হয় : "ভাল, তারা আমাকে বলেছিল যে আমি যে সতর্কবাণী উপেক্ষা করা উচিত https://mysite.example.com/ , এবং একটি নেহাই করা হয়নি আমার মাথায় ড্রপ, এবং আমার গোল্ডফিশ হয় না মারা যায়; sooooo, এর অর্থ হ'ল এটি অন্য একটি সত্যিকারের অর্থ ব্যতীত সতর্কতা বাক্স, সুতরাং আমি যখনই এই বাক্সটির মুখোমুখি হই তখন আমি এটিকে উপেক্ষা করতে পারি - যাইহোক, আমি সেই দুর্দান্ত লক আইকনটি পেয়েছি এবং এটি গুরুত্বপূর্ণ ""

অন্য কথায়, সুরক্ষার স্তরটি তুলনামূলকভাবে সরল এইচটিটিপি-র সাথে (ওয়্যার স্নিফিং ব্যতীত: যদিও ট্রানজিটে ডেটা এনক্রিপ্ট করা থাকে, এটি এন্ডপয়েন্ট ভেরিফিকেশন ব্যতীত একটি রক্তস্বল্প বৈশিষ্ট্য) তবে সুরক্ষার অনুভূতিটি অযৌক্তিকভাবে উচ্চ । খারাপ গাড়ী উপমা: "আমার কাছে এবিএস রয়েছে, তাই আমি এখন খারাপ অবস্থায় আরও নিরাপদে গাড়ি চালাতে পারি" - এ বিএস ব্যতীত গাড়ির বিক্রয় ব্রোশিওরটিতে কেবল গাড়ীতে উপস্থিত না হয়েই উপস্থিত থাকে।

প্রস্তাবিত পাঠ: ওডাব্লিউএসপি এসএসএল সেরা অনুশীলন

টিএল; ডিআর: জনসাধারণের মুখোমুখি সাইটগুলিতে স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করে আপনি নেটকে আরও খারাপ স্থান করে তুলছেন, একবারে এক ক্লুলেস ব্যবহারকারী।


2
@downvoter: আপনি নির্দিষ্ট আমি কৃতজ্ঞ চাই যেখানে আমার উত্তর মোটামুটি ভুল ( "ভুল" হিসাবে বিরোধিতা "অস্বস্তিকর, অসুবিধাজনক, এবং একটি বাস্তবায়ন বিরক্ত")। সুরক্ষা ইজ হার্ড, এবং "লা লা লা আমি আপনাকে শুনতে পাচ্ছি না" এটি ঠিক করার জন্য কিছুই করে না।
পিসকভোর

2
যদিও আমি আপনার উত্তরটিকে নিম্নচলিত করি নি, ডাউন তীরের টুলটিপ পাঠ্যটি উত্তর কার্যকর না হওয়া ছাড়া অন্য কোনও কারণে ডাউনভোটিং নির্দেশ করে। আমি মনে করি সুরক্ষা দুলের মিথ্যা বোধটিও অন্য দিকে ঝুলতে পারে। সাম্প্রতিক কমোডো আরএ লঙ্ঘন প্রমাণ করেছে যে "ভিলেন" এর পক্ষে পুরোপুরি বৈধ শংসাপত্র সংগ্রহ করা এতটা কঠিন নয়।
mahnsc

@ এমএএনএসসি: অনুস্মারকটির জন্য আপনাকে ধন্যবাদ; আমি সে সম্পর্কে সচেতন :-) "একটি স্ব স্ব স্বাক্ষরিত এসএসএল শংসাপত্রটি কি সুরক্ষনের কোনও মিথ্যা ধারণা?" "হ্যাঁ, নিম্নলিখিত কারণে ..." দরকারী মনে হচ্ছে, না? সুতরাং, আমি আগ্রহী ছিলাম কেন এটি হবে না: আমি বিরোধী দৃষ্টিভঙ্গি থেকে কিছু শিখতে পারি; একটি ডাউনভোট থেকে, এত বেশি নয়।
পিসকভোর

1
@ এমএনএসসি: আপোসড সিএ সম্পর্কে ভাল বক্তব্য। আমি বলছি না যে রুট সিএ তালিকাটি পাথরে সেট করা আছে এবং অকেট করা যায় - নিখুঁত সুরক্ষা বিদ্যমান নেই; কিন্তু এটি বিরতি যথেষ্ট আরও চেষ্টা লাগে যে একটি নেটওয়ার্ক গেটওয়ে উপর একটি ক্যাপচার করা SSL প্রক্সি স্থাপনের চেয়ে।
পিসকভোর

1
@ এমএএনএসসি: আমি বুঝিয়েছি যে এসএসএল প্রক্সি স্থাপন করা আরও সহজ এবং আশা করা যায় যে ব্যবহারকারী কোনও এসএসএল প্রক্সি স্থাপনের চেয়ে সতর্কতাগুলির মাধ্যমে ক্লিক করে এবং আশা করি যে সিএ যাচাইকরণ প্রক্রিয়াটি বগাস শংসাপত্রের অনুরোধটি পিছলে যায়। আমরা যেমন দেখেছি তেমনি সম্ভব, তবে পূর্বেরটি করা আরও সহজ (এবং পরে ব্রাউজার ব্যবহারকারীরা নিরীক্ষণের ট্রেইল রাখে না বলে এটি সনাক্ত করা আরও শক্ত)।
পিসকভোর

8

নির্ভর করে। আপনি যদি ভাবেন যে এটি আপনাকে আরও সুরক্ষিত করে তোলে তবে এটি আপনার ঝুঁকি বাড়ায় যেহেতু আপনি আপনার ভ্রান্ত নিরাপত্তার বোধ দিয়ে ঝুঁকিপূর্ণ জিনিসগুলি বেছে নেবেন। যদি আপনি এটি HTTP- র সমতুল্যভাবে আচরণ করেন তবে আমি বলব আপনি কিছুটা বেশি সুরক্ষিত।

এসএসএল / এইচটিটিপিএস ব্যতীত আপনার নেটওয়ার্কে ওয়্যারশার্ক সহ যে কেউ (বা যে কেউ লগ ইন করছেন তার স্থানীয় নেটওয়ার্ক) তুচ্ছভাবে শুনতে এবং সাধারণ পাঠ্য হিসাবে প্রেরণ করা ব্যবহারকারী নাম / পাসওয়ার্ড ক্যাপচার করতে পারে।

স্ব-স্বাক্ষরিত এসএসএল দিয়ে তারা কেবল শুনতে পারবেন না, তবে এখন আপনার সাইটের নকল করতে হবে, কোনও ব্যক্তিকে এটি মাঝারি (এমআইটিএম) আক্রমণ করার জন্য সম্ভাব্যভাবে ডিএনএস পরিবর্তন করতে হবে। এটি এখনও একটি হুমকি, তবে তাদের পক্ষে সম্পাদন করা উল্লেখযোগ্যভাবে আরও কঠিন।

স্ব-স্বাক্ষরিত এসএসএল ব্যবহারের ক্ষেত্রে অন্য সমস্যাটি হ'ল অনেক ব্রাউজারগুলি স্ব-স্বাক্ষরিত শংসাপত্রগুলিকে একটি প্রধান সুরক্ষা হুমকি হিসাবে বিবেচনা করে এবং একটি দৈত্য লাল পৃষ্ঠায় প্রবেশ করার আগে আপনাকে (যেমন, ক্রোম) সতর্ক করে দেয়। http://www.sslshopper.com/article-ssl-certificates-in-google-chrome.html এটি একটি বড় অসুবিধা হতে পারে।

সুতরাং নীচের লাইনটি হ'ল: আপনি যদি এমন কিছু চালান যা বিশেষভাবে সুরক্ষিত হওয়ার দরকার নেই (যেমন, কোনও ক্রেডিট কার্ডের ডেটা নেই, কোনও সামাজিক সুরক্ষা # নেই) এবং সঠিক শংসাপত্রের সামর্থ্য না রাখতে পারে, তবে স্ব-স্বাক্ষরিত শংসাপত্রটি কিছুটা বোঝাতে পারে (অন্যান্য নেটওয়ার্ক ব্যবহারকারীদের সহজেই তাদের লগ-ইন তথ্য স্নিগ্ধ করা থেকে বিরত রাখতে বলা)।


0

এটি "সুরক্ষা" দিয়ে আপনি কী বোঝাতে চান তা নির্ভর করে এবং এর পরিমাণটি।

উদাহরণস্বরূপ, আপনার ব্রাউজারটি ডিফল্টরূপে গৃহীত সিএর সেট নিয়ে আসে। এর অর্থ, এই সিএ দ্বারা প্রদত্ত যে কোনও শংসাপত্রটি আপনার ব্রাউজারটি গ্রহণ করবে (যতক্ষণ না এটি ডিএনএস নামের সাথে মেলে)। এখন, কল্পনা করুন কিছু দুষ্ট সরকার একটি সিএর মালিকানাধীন, বা CA আপনি যে সাইট পরিদর্শন করছেন তার একটি শংসাপত্র জারি করতে বাধ্য করতে পারে। তারপরে, একটি এমআইটিএম করা খুব সহজ: তারা আপনার সংযোগের প্রক্সি করতে পারে, আপনার ব্রাউজারে তাদের কাছে থাকা শংসাপত্র প্রেরণ করে এবং আপনার ব্রাউজারটি এটি গ্রহণ করবে, যেহেতু এটি "বিশ্বস্ত" সিএ থেকে আসে। যতক্ষণ না তারা ডিএনএস-স্বচ্ছ হয় (যা এমআইটিএম এর ভিত্তি) এটি ঠিক আছে।

সুতরাং, "গৃহীত সিএর তালিকা" মূলত একটি বড় সুরক্ষা গর্ত, যতক্ষণ না এই সিএর মধ্যে কেউ কোনও খারাপ সরকারকে সহযোগিতা করে। নিজের সিএ থাকা অনেক ভাল।

অবশ্যই আপনি এটি আপনার সংস্থায় বা আপনার হোম সার্ভারে করতে পারেন, কারণ আপনি নিজের সিএ শংসাপত্রটি ক্লায়েন্টের মধ্যে ইনস্টল করতে পারেন, যা আপনিও নিয়ন্ত্রণ করেন। সর্বজনীন সার্ভারে আপনি কোনও ব্যবহারকারীর সাথে কোনও ব্যতিক্রম যুক্ত করতে বা আপনার শংসাপত্র যুক্ত করতে বলার সাথে মোকাবিলা করতে পারবেন না।

সুতরাং, এটি "সুরক্ষা" এবং আপনার সুযোগের জন্য আপনি কী বোঝাতে চান তা নির্ভর করে। আপনি যদি ক্লায়েন্টদের মালিক হন তবে, সুরক্ষিত স্বাক্ষর করা নিরাপদ, যতক্ষণ না আপনি ক্লায়েন্টকে নিজের সিএর শংসাপত্র ইনস্টল করেন install

অবশ্যই, আপনি কোনও পাবলিক ওয়েবসাইটে এটি করতে পারবেন না যেহেতু আপনি সমস্ত ক্লায়েন্টের মালিক নন। সুতরাং আপনি বিভিন্ন আচরণের একটি ঝুঁকি পাবেন, যা নিরাপদ নয়।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.