স্ব-স্বাক্ষরিত এসএসএল শংসাপত্রগুলি কী সুরক্ষিত?


33

আমি যখন আমার ওয়েবমেল, পিএইচপিএমআইএডমিন , ইত্যাদিতে লগইন করি তখন আমি একটি সুরক্ষিত সংযোগ রাখতে চাই

অতএব আমি ওপেনএসএসএল এর সাথে আমার নিজের এসএসএল শংসাপত্রগুলি স্বাক্ষর করেছি এবং অ্যাপাচিকে 443 পোর্টে শুনতে বলি।

এটি কি আসলেই নিরাপদ? আমার সমস্ত পাসওয়ার্ডগুলি কী কোনও নিরাপদ এবং সুরক্ষিত স্তরের মাধ্যমে পাঠানো হয়েছে? যদি আমি ভেরিজাইন থেকে কোনও এসএসএল শংসাপত্র কিনে বা আমার নিজের একটিতে স্বাক্ষর করি তবে কী পার্থক্য হবে ? দিন শেষে, সমস্ত ডেটা যাইহোক আমার সার্ভারে থাকবে। তাহলে বড় পার্থক্য কী?

উত্তর:


40

এটাই সব বিশ্বাসের বিষয়। আপনি যদি ভেরিজাইন থেকে স্বাক্ষরিত শংসাপত্র পান তবে আপনি এলোমেলো ক্লায়েন্টদের কাছে প্রমাণ করেছেন যে আপনার শংসাপত্রটি বিশ্বাসযোগ্য। আপনি যদি শংসাপত্রটিতে স্বাক্ষর করেন তবে তাদের কম্পিউটারে আপনার শংসাপত্র ইনস্টল না করা লোকেরা নিশ্চিত হতে পারে না যে তারা কোনও ম্যান-ইন-দ্য মিডল আক্রমণ দ্বারা আক্রান্ত হচ্ছে না ।

যদি আপনার ওয়েবসার্ভারটি কেবলমাত্র আপনার দ্বারা ব্যবহৃত হয়, তবে আপনার শংসাপত্রে স্বাক্ষর করতে আপনাকে সত্যিকারের সিএ (যেমন ভেরিগাইন) লাগবে না। আপনি যে মেশিনগুলি ব্যবহার করতে চান সেগুলিতে কেবল শংসাপত্র ইনস্টল করুন এবং আপনি যেতে ভাল।

সম্পাদনা: সুতরাং আপনার প্রশ্নের জবাব দেওয়ার জন্য: হ্যাঁ সমস্ত কিছুই এনক্রিপ্ট করা হয়েছে এবং আপনি নিশ্চিত হতে পারেন যে ওয়েব ব্রাউজারকে উপস্থাপন করা শংসাপত্রটি আসলে আপনি যার সাথে ওয়েব সার্ভার সেটআপ করেছেন সেটিই যদি আপনি জানেন যে কেউ আপনার সংবেদনশীল ডেটা পড়তে পারবেন না।


12
সিএর উদ্দেশ্য অন্যদের কাছে প্রমাণ করা যে কোনও শংসাপত্র যার সাথে আপনি বলেছিলেন এটি তার। যেহেতু আপনি ইতিমধ্যে জানেন যে শংসাপত্রটি হ'ল, আপনার নিজের সার্ভার অ্যাক্সেস এবং নিজের শংসাপত্র উপস্থাপনের ক্ষেত্রে, একটি CA কোনও উদ্দেশ্য করে না। তবে, অন্যরা আপনার সার্ভারগুলিতে সুরক্ষিতভাবে অ্যাক্সেস করতে পারে না, কারণ কোন শংসাপত্রের উপর আস্থা রাখতে হবে তা জানার তাদের কোনও উপায় নেই। (আপনি জানেন - আপনি যে জারি করেছেন তার উপর আস্থা রাখুন))
ডেভিড শোয়ার্জ

এটিও একটি যুক্তিসঙ্গত পন্থা হতে পারে যদি সার্ভারটি এমন একটি সীমিত সংখ্যক ব্যবহারকারীর দ্বারা অ্যাক্সেস করা হবে যারা শংসাপত্রটি যাচাই করার জন্য সরাসরি আপনার সাথে যোগাযোগ করতে পারে - উদাহরণস্বরূপ আপনার পরিবারের সদস্য বা একটি ছোট সংস্থার কর্মীরা।
বিজিওয়গান

মধ্যমতে কোনও ব্যক্তি যিনি সিএর সাথে সমন্বয়যুক্ত তার স্ব-স্বাক্ষরিত শংসাপত্রকে ওভাররাইড করতে পারেন? উদাহরণস্বরূপ বব অ্যালিসের স্ব-স্বাক্ষরিত ওয়েবসাইটের সাথে সংযোগ স্থাপন করে, স্কার ববকে সিএ স্কারের স্বাক্ষরিত একটি আলাদা শংসাপত্রের সাথে সমন্বিত হয়, বব ব্রাউজার কখনই কোনও এসএসএল সতর্কতা দেখায় না। এটা কি সম্ভব?
হ্যালো ওয়ার্ল্ড

14

এটাই সব বিশ্বাসের বিষয়।

বলুন আপনি একটি জনপ্রিয় ওয়েবসাইট পরিদর্শন করেছেন যা শংসাপত্র উপস্থাপন করে। এটি হ'ল এই ওয়েবসাইটটি বলছে "এই তিনিই আমি, আপনি আমাকে বিশ্বাস করতে পারেন, কারণ আমার পরিচিতিটির এই চিঠিটি আপনি বিশ্বাস করে এমন কেউ স্বাক্ষর করেছেন ।"

এই ক্ষেত্রে, 'আপনারা কেউ বিশ্বাস করেন' হ'ল শংসাপত্রের কর্তৃত্বগুলির মধ্যে অন্যতম, (আশাবাদী) আপনার পক্ষে শংসাপত্রের উপস্থাপকের পরিচয় প্রতিষ্ঠায় লেগ কাজ করেছে।

আপনি সত্যিকার অর্থে যা বিশ্বাস করছেন তা হ'ল শংসাপত্র উপস্থাপনকারী ব্যক্তির পরিচয় সম্পর্কে শংসাপত্র কর্তৃপক্ষের আস্থার উপর ব্রাউজার লেখকের বিশ্বাস। আপনার এবং উপস্থাপকের মধ্যে প্রায়শই একাধিক কর্তৃত্ব থাকে, সুতরাং এই শব্দটি: 'ট্রাস্ট চেইন'। [1]

আপনি যখন নিজের শংসাপত্রে স্বাক্ষর করেন তখন কোনও বিশ্বাসের শৃঙ্খলা থাকে না। আপনার সাইটটি আপনার নিজের শংসাপত্রটি আপনাকে ফিরিয়ে দিচ্ছে। তুমিই সেই হিসাবে আপনার ব্রাউজারে আপনার নিজের শংসাপত্র ইনস্টল করা হলে আপনি বিশ্বাস, তারপর যে একটা কর্তৃত্বের হিসাবে গণ্য হবে, বেশী যে প্রাক ইনস্টল আসা হিসাবে একই। তারপরে আপনার একটি বিশ্বাসের চেইন রয়েছে কেবলমাত্র একটি লিঙ্কের সাথে।

তারপরে আপনি যদি আপনার নিজের কোনও সাইটটিতে যান এবং আপনার ব্রাউজারটি আপনাকে সতর্ক করে যে এটি কোনও অবিশ্বস্ত শংসাপত্র উপস্থাপন করছে, তবে আপনার তখন উদ্বেগের কারণ হওয়া উচিত, যেহেতু অন্য কোনও সাইটের মতো যা কোনও অবিশ্বস্ত শংসাপত্র উপস্থাপন করে, আপনি নিশ্চিত হতে পারবেন না আপনি প্রকৃত সাইটের সাথে যোগাযোগ করছেন।

মনে রাখবেন যে আমি এখনও এনক্রিপশনের কোনও উল্লেখ করিনি। শংসাপত্রগুলি আপনি যে দলের সাথে যোগাযোগ করছেন তার পরিচয় প্রমাণ করার বিষয়ে । বিশ্বস্ত শংসাপত্রগুলির মাধ্যমে আপনার পক্ষে যুক্তিযুক্তভাবে আশ্বস্ত হওয়ার উপায় রয়েছে যে আপনার দোকান বা ব্যাংকই আসল। একবার আপনি তাদের পরিচয় স্থাপন করার পরে, আপনার মধ্যে যোগাযোগ সুরক্ষিত করা পরবর্তী পদক্ষেপ। এটি এমন হয় যে শংসাপত্রগুলিতে এই সুরক্ষার সুবিধার্থে প্রয়োজনীয় কীগুলিও থাকে। ধরে নিই যে আপনি আপনার এসএসএলকে সঠিকভাবে সেট আপ করেছেন, তবে এই যোগাযোগের দোকানটি আপনার দোকান বা ব্যাঙ্কের মতোই সুরক্ষিত এবং আপনার পাসওয়ার্ডগুলিও সমানভাবে সুরক্ষিত [[2]

[1] এটি কোনওভাবেই ত্রুটিবিহীন ব্যবস্থা নয়। একটি মুক্ত বাজার এবং নিম্ন-মার্জিন, উচ্চ-ভলিউম ব্যবসা অনিবার্যভাবে ব্যয় কাটাতে পরিচালিত করে: http://www.theregister.co.uk/2011/04/11/state_of_ssl_analysis/

[২] কমপক্ষে, এতটা সুরক্ষিত যে আপনার বাড়িতে intoুকে পড়ার পক্ষে এটি এতটা সস্তা যে সেগুলি ক্র্যাক করার চেষ্টা করার চেয়ে আপনার গোপনীয়তাগুলি আপনার থেকে বের করে দেয়: http://xkcd.com/538/


11

আসলে, স্ব-স্বাক্ষরিত সার্টিফিকেট পারেন , নিরাপদ হতে মাত্র মডেলটি এখন আমরা ব্যবহার করছি অধীন নয়।


প্রত্যেকে বর্তমানে যে বিস্তৃত সিএ (শংসাপত্র কর্তৃপক্ষ) মডেল ব্যবহার করে তার অধীনে, বিশ্বস্ত সিএ স্বাক্ষরিত শংসাপত্রের উদ্দেশ্য হ'ল প্রমাণীকরণ সরবরাহ করা।

যখন আমরা একটি শংসাপত্র পাই, আমরা সত্যিই যা দেখি সেগুলি 1 এর এবং 0 এর প্রাচীরের জ্যাক থেকে আগত; সেই 1 এবং 0 এর কোথা থেকে এসেছে আমাদের কোনও ধারণা নেই। যাইহোক, শংসাপত্রটি একটি সিএ দ্বারা স্বাক্ষরিত - এমন কিছু যা সিএ ব্যতীত অন্য কেউ করতে পারে না - এবং আমরা শংসাপত্রের মালিকের পরিচয় যাচাই করতে সিএকে বিশ্বাস করি, তাই আমরা বিশ্বাস করি যে শংসাপত্রটি দাবি করেছে তার কাছ থেকে এসেছে করতে।

অবশ্যই, যদি সিএ আপোস করা হয় বা সঠিকভাবে মালিককে যাচাই না করে , সমস্ত বেট বন্ধ রয়েছে।


যাইহোক, অন্য মডেল, যার অধীনে স্ব-স্বাক্ষরিত সার্টিফিকেট হয় না সত্যতা প্রদান। একে নোটারী মডেল বলা হয় ।

মূলত, একটি সিএ-তে বিশ্বাস না করে আমরা বিশ্বাসটি যে কোনও সংখ্যক নোটারে বিতরণ করি । এই নোটারিগুলি তারা দেখেছে এমন সমস্ত শংসাপত্রের একটি ক্যাশে রেখে শংসাপত্রগুলির সন্ধানে ইন্টারনেটকে ঘৃণা করে। আপনি যখন প্রথমবার কোনও সাইট পরিদর্শন করেন এবং শংসাপত্রটি গ্রহণ করেন, তখন আপনি বিশ্বব্যাপী বিতরণ করা নোটারিগুলির একটি সংখ্যা জিজ্ঞাসা করেন যে তারা সর্বশেষ শংসাপত্রটি দেখেছিল। আপনি যা দেখছেন তাতে যদি তারা দ্বিমত পোষণ করে তবে আপনি মধ্য-আক্রমণের অংশ হতে পারেন।

এই মডেলটির অধীনে স্ব-স্বাক্ষরিত শংসাপত্রগুলি পুরোপুরি সুরক্ষিত, যতক্ষণ না আমরা অনুমান করি যে কোনও নোটারি এর শংসাপত্রটি দেখার আগে সার্ভারটি তত্ক্ষণে আপস করা হবে না।


নোটারি-মডেলটি এখনও শৈশবকালে রয়েছে, এবং সন্দেহজনকভাবে এটি সিএ মডেলটি কখনও গ্রহণ করবে (আসলে, এটি করার দরকার নেই - এগুলি ব্যবহার করতে পারে) । এখন পর্যন্ত সবচেয়ে প্রতিশ্রুতিবদ্ধ প্রকল্প হ'ল কনভার্জেন্স.ইও , যা ফায়ারফক্সের জন্য একটি প্লাগইন রয়েছে।


2

এটি বিশ্বাসের মতো নয় ...

এসএসএল শংসাপত্রগুলি দুটি উদ্দেশ্যে পরিবেশন করতে পারে - 1) আপনি যে ওয়েব সার্ভারের সাথে সংযোগ স্থাপন করতে চান তার সাথে সংযোগ করছেন; এবং 2) যোগাযোগগুলি এনক্রিপ্ট করা।

আপনার # 1 ছাড়াই # 2 থাকতে পারে যা আপনি অর্জন করেছেন। তারপরে যা বাকী রয়েছে তা হ'ল আপনি যে বাক্সের সাথে সংযোগ করছেন সেটি হ'ল আপনি যা চান।

যদি এটি আমার সার্ভার হয় তবে আমার নিজের থেকে স্বাক্ষরিত সার্টিফিকেট ব্যবহার করার ক্ষেত্রে আমার কোনও সমস্যা নেই - যদিও কিছুটা ঝুঁকি রয়েছে যে কেউ আমার পরিবর্তে তাদের সার্ভারে সংযোগ পেতে আমাকে জিনিসগুলি ফাঁকি দিতে পারে। যেহেতু কেউই আমার এবং আমার সার্ভার সম্পর্কে চিন্তা করে না এবং এখানে আমার খুব কম মূল্য রয়েছে তাই আমি এতে খুব বেশি ঝুঁকি দেখছি না।

অন্যদিকে, আমার কোনও সার্ভারের পরিবর্তে এটি যদি আপনার সার্ভার হয় তবে আমি উদ্বিগ্ন হব।


আপনি কি বলছেন: "এটি যদি আপনার সার্ভার হয় তবে আমি উদ্বিগ্ন হব না"?
চেরুন

না, তিনি বলেছিলেন "এটি যদি আমার সার্ভার হয় তবে আমার কোনও সমস্যা নেই ... এটি যদি আপনার সার্ভার হয় তবে আমার সমস্যা আছে"।
ফ্রান্সেস্কো

আপনি ভুল। কেউ আপনাকে নিজের পরিবর্তে তাদের সার্ভারে সংযুক্ত করতে জিনিসগুলিকে ফাঁকি দিতে পারে না। আপনার কাছে দেওয়া স্ব-স্বাক্ষরিত শংসাপত্রের সাথে মিলে যায় এমন কোনও কী নেই এবং আপনি এটি স্বীকার করবেন না বলে আপনার কাছে আলাদা শংসাপত্র উপস্থাপন করতে পারবেন না।
ডেভিড শোয়ার্জ

@ কেচারুন আমার বক্তব্যটি ছিল আমি বিশ্বাস করি - আপনি (বা অন্য কেউ) নয়। আপনি নিজের উপর / বিশ্বাস রাখতে পারেন।
u স্ল্যাকার

1
-1। হ্যান্ডশেক চলাকালীন আলোচিত প্রতিসাম্য কী ব্যবহার করে এনক্রিপশন করা হয়। অবশ্যই, আপনি প্রত্যন্ত দলের পরিচয় যাচাই করতে শংসাপত্রটি ব্যবহার করেন, অন্যথায় যোগাযোগ এনক্রিপ্ট করার সামান্য পয়েন্ট থাকবে (এটি একটি এমআইটিএম হতে পারে)। যদি এটি আপনার সার্ভার এবং স্ব-স্বাক্ষরিত শংসাপত্র হয় তবে আপনার শংসাপত্রটি স্পষ্টভাবে আপনার ক্লায়েন্টের মধ্যে আমদানি করুন।
ব্রুনো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.