এইচটিপিএস কি কোনও শংসাপত্র ছাড়াই কাজ করতে পারে?

সম্প্রতি আমাদের অবকাঠামো টিম আমাদের উন্নয়ন দলকে জানিয়েছে যে আপনার https এর জন্য কোনও শংসাপত্রের দরকার নেই। তারা উল্লেখ করেছিল যে একটি শংসাপত্র কেনার একমাত্র সুবিধা হ'ল ভোক্তাকে মনের শান্তি দেওয়া যে তারা সঠিক ওয়েবসাইটের সাথে সংযোগ করছে।

এটি https সম্পর্কে আমি ধরে নিয়েছি এমন সমস্ত কিছুর বিরুদ্ধে যায়।

আমি উইকিপিডিয়া পড়েছি এবং এটিতে আপনাকে উল্লেখ করা হয় https কনফিগার করার জন্য আপনার কোনও বিশ্বাসযোগ্য শংসাপত্র বা স্ব স্বাক্ষরিত শংসাপত্রের প্রয়োজন।

কোনও শংসাপত্র ছাড়াই কি https তে প্রতিক্রিয়া জানাতে আইআইএস কনফিগার করা সম্ভব ?

না। আপনার অবশ্যই একটি শংসাপত্র থাকতে হবে। এটি স্বতঃ স্বাক্ষরিত হতে পারে, তবে ডেটা এনক্রিপ্ট করার জন্য সার্ভার এবং ক্লায়েন্টের মধ্যে সেশন সিম্যাট্রিক কীটি বিনিময় করতে অবশ্যই একটি সরকারী / ব্যক্তিগত কী জুড়ি থাকতে হবে।

সংক্ষেপে, না, তবে আপনি কীভাবে সিস্টেমটি স্থাপন করতে চান তার উপর নির্ভর করে সূক্ষ্ম কেসগুলি হতে পারে।

এইচটিটিপিএস হ'ল এসএসএল / টিএলএসের ওপরে HTTP, এবং আপনি শংসাপত্র ছাড়াই বা X.509 ব্যতীত অন্য ধরণের শংসাপত্র সহ SSL / TLS ব্যবহার করতে পারেন ।

• বেনামে সিফার স্যুট: তারা এনক্রিপশন সরবরাহ করতে পারে তবে প্রমাণীকরণ ছাড়াই। সুরক্ষার দিক থেকে যতটা বেহুদা তা নয় ... আরএফসি 4346 এর উদ্ধৃতি দিতে : " বেনামে ডিফি-হেলম্যান দৃ .়ভাবে নিরুৎসাহিত হয়েছেন কারণ এটি মধ্য-মধ্যবর্তী আক্রমণগুলিকে আটকাতে পারে না। "
• প্রাক-ভাগ করা কীগুলি : দূরবর্তী পরিচয় যাচাই করার জন্য এটির নিজস্ব ব্যবস্থা আছে তবে কীগুলির ভাগ করা প্রকৃতির সমস্যাগুলির নিজস্ব সেট এনেছে (বিশেষত সীমিত স্থাপনা)।
• কার্বেরোস সাইফার স্যুট : ক্লায়েন্টটি কার্বেরোস মূল নামটির বিরুদ্ধে সার্ভারের পরিচয় যাচাই করতে পারে।

কড়া কথায় বলতে গেলে, টিএলএস স্পেসিফিকেশন ওভার এইচটিটিপি নিম্নলিখিত বলে:

সাধারণভাবে, এইচটিটিপি / টিএলএস অনুরোধগুলি ইউআরআই-এর উল্লেখ করে উত্পন্ন হয়। ফলস্বরূপ, সার্ভারের হোস্টনাম ক্লায়েন্টের কাছে পরিচিত। হোস্টনামটি উপলভ্য থাকলে, ক্লায়েন্টটি ম্যান-ইন-মধ্যম আক্রমণগুলি রোধ করার জন্য সার্ভারের শংসাপত্র বার্তায় উপস্থাপিত সার্ভারের পরিচয়ের বিপরীতে এটি পরীক্ষা করতে হবে।

সার্ভারের প্রত্যাশিত পরিচয় হিসাবে ক্লায়েন্টের যদি বাহ্যিক তথ্য থাকে তবে হোস্টনাম চেকটি বাদ দেওয়া যেতে পারে। (উদাহরণস্বরূপ, কোনও ক্লায়েন্ট এমন কোনও মেশিনের সাথে সংযোগ স্থাপন করতে পারে যার ঠিকানা এবং হোস্টনামটি গতিশীল তবে ক্লায়েন্ট সার্ভারটি যে শংসাপত্রটি উপস্থাপন করবে তা জানে such মাঝারি আক্রমণে মানুষকে আটকাতে আদেশ করুন। বিশেষ ক্ষেত্রে, ক্লায়েন্টের পক্ষে কেবল সার্ভারের পরিচয় উপেক্ষা করা উপযুক্ত হতে পারে তবে এটি অবশ্যই বুঝতে হবে যে এটি সংযোগটি সক্রিয় আক্রমণে উন্মুক্ত করে।

সংক্ষেপে, এটি X.509 শংসাপত্রের সাথে স্পষ্টভাবে ব্যবহারের উদ্দেশ্যে তৈরি হয়েছে (এটি স্পষ্টভাবে আরএফসি 2459 উল্লেখ করে, পরে আরএফসি 3280 এবং 5280 দ্বারা প্রকাশিত: এক্স.509 শংসাপত্র সহ পিকেআই)।

আপনি যখন কারবেরোস সাইফার স্যুট ব্যবহার করছেন তখন একটি প্রান্তের কেস হতে পারে। দূরবর্তী পক্ষের পরিচয় যাচাইয়ের জন্য সার্ভারের কার্বেরোস পরিষেবার টিকিটটি সাধারণ এইচটিটিপিএসে X.509 শংসাপত্রের মতো একই উদ্দেশ্য হতে পারে বলে চিকিত্সা করা বোধগম্য হতে পারে। এটি আরএফসি 2818 এর নিয়মের মধ্যে পুরোপুরি ফিট করে না (যদিও এটি " ক্লায়েন্টটির সার্ভারের প্রত্যাশিত পরিচয় সম্পর্কে বাহ্যিক তথ্য থাকলে, হোস্টনাম চেক হতে পারে বাদ দেওয়া যেতে পারে। ") এর অধীনে আসতে পারে তবে এটি হবে না সম্পূর্ণ অযৌক্তিক। এটি বলা হচ্ছে, আমি মনে করি না যে সাধারণ ব্রাউজারগুলি সাধারণভাবে টিএলএস কার্বেরোস সাইফার স্যুটগুলিকে সমর্থন করে (একটি সংখ্যা এসপিএনইজিও প্রমাণীকরণের মাধ্যমে কার্বেরোসকে সমর্থন করতে পারে, তবে এটি সম্পর্কিত নয়)। তদতিরিক্ত, এটি কেবল এমন পরিবেশেও কাজ করবে যেখানে কার্বেরোস ব্যবহার করা উপযুক্ত।

" [প্রদান] ভোক্তাদের মানসিক শান্তি যে তারা সঠিক ওয়েবসাইটের সাথে সংযুক্ত হচ্ছে" তাদের এবং আপনার সার্ভারের মধ্যে যোগাযোগ সুরক্ষিত করার জন্য মূলত অন্যতম মূল প্রয়োজনীয়তা। উপযুক্ত নামকরণের কনভেনশন (আরএফসি 2818 বা আরও সম্প্রতি আরএফসি 6125) সহ যাচাই করতে পারেন এমন শংসাপত্র ব্যবহার করুন।

আপনি কোনও শংসাপত্র ছাড়াই https ব্যবহার করতে পারবেন না। আপনাকে পরীক্ষার জন্য কোনও বিশ্বস্ত শংসাপত্র কিনতে বা স্ব-স্বাক্ষরিত একটি তৈরি করতে হবে। আপনার ওয়েব সার্ভারটি https ব্যবহারের জন্য কনফিগার করার অংশটি হ'ল সঠিক কী ফাইলগুলিতে নির্দেশ করা। অবশ্যই, এটি কেবলমাত্র আইআইএস নয়, সমস্ত ওয়েব সার্ভারের ক্ষেত্রেও প্রযোজ্য।