এর মূল সিএ না বিশ্বাস করে উইন্ডোজে কোনও শংসাপত্রের উপর নির্ভর করা সম্ভব?

14

কোনও শংসাপত্রের উপর নির্ভর করার জন্য উইন্ডোজ পাওয়া সম্ভব, কোনও বিশ্বাসযোগ্য রুট সিএ হিসাবে রুট সিএকে বিশ্বাস না করেই?

বলুন যে আমার কাছে নিম্নলিখিত শংসাপত্র শৃঙ্খলা রয়েছে,

Dept-Root-CA
Dept-Intermediate-1
Server-Certificate

আমি সার্ভার-শংসাপত্রকে বিশ্বাস করতে চাই, তবে ডিপার্টমেন্ট-রুট-সিএ-তে বিশ্বাস করতে চাই না কারণ তখন এটি কোনও শংসাপত্রে স্বাক্ষর করতে পারে এবং আমার সার্ভারগুলি এটি বিশ্বাস করবে। কেবলমাত্র একটি নির্দিষ্ট ক্রিয়াকলাপের জন্য আমি সার্ভার-শংসাপত্রের শংসাপত্রকে বিশ্বাস করতে ইচ্ছুক, এর অর্থ এই নয় যে আমি বিশ্বাস করতে চাই যে ডিপুট-রুট-সিএ সঠিকভাবে সুরক্ষিত হয়েছে।

ধন্যবাদ

windows  ssl 
bkr
সূত্র
আপনি কিসের জন্য এটি নির্ভর করতে চান? HTTPS দ্বারা? নাকি অন্য কিছু? সেখানে হয় যা নির্দেশ করে আপনি যদি root পরিচয় সিএ থেকে অন্য কিছু গ্রহণ ছাড়া একটি একক শংসাপত্র গ্রহণ করতে চান পথ, কিন্তু এটা কি করছো তুমি উপর নির্ভর করে। (আপনি এখনও এই শংসাপত্রটি বৈধতা দেওয়ার চেষ্টা করলে ত্রুটিগুলি পাবেন)
মার্ক হেন্ডারসন
মূলত হ্যাঁ যদি এটি কাস্টম কোড ছিল তবে এটি কোনও সমস্যা হবে না - তবে এটি ADFS 2 ব্যবহার করছে এবং এটি শংসাপত্রগুলির সাথে কীভাবে আচরণ করে সে সম্পর্কে আমি যা করতে পারি তা হ'ল সার্ভার সেই শংসাপত্রকে কীভাবে বিশ্বাস করে। অন্যান্য ক্ষেত্রেও রয়েছে তবে এটি কেবল বর্তমান উদাহরণ।
বিকেআর

উত্তর:

5

না। যতক্ষণ না শংসাপত্রটি "ইস্যু করে: এক্সএক্সএক্সএক্স" বলেছে ততক্ষণ আপনাকে অবশ্যই শৃঙ্খলাবদ্ধভাবে সমস্ত ভাবে এক্সএক্সএক্সএক্সকে বিশ্বাস করতে হবে। যদি এটি স্ব-স্বাক্ষরিত শংসাপত্র হয়, আপনি এটি বিশ্বস্ত রুট সিএএস স্টোরে রাখতে পারেন এবং যেহেতু এটি একই সত্তা দ্বারা জারি করা এবং জারি করা হয়, তখন এটি বিশ্বাস করা উচিত।

তবে না এটি সাধারণভাবে শংসাপত্র ভিত্তিক সুরক্ষার পুরো উদ্দেশ্যটিকে পুরোপুরি বিঘ্নিত করার পক্ষে উপযুক্ত বা পরামর্শযোগ্য নয়।

রায়ান রিস
সূত্র
6
আমি যে ভয় পেয়েছিলাম। যদিও আমি এটিকে অবরুদ্ধ বলব না। আমি অন্য কোনও সাংগঠনিক গোষ্ঠীর একটি মেশিনের সাথে কথা বলার জন্য একটি নিরাপদ চ্যানেল চাইছি তার অর্থ এই নয় যে আমি তাদের সিএ-তে বিশ্বাস রাখতে চাই।
বি কেআর
ঠিক আছে ... তবে CA সেই শংসাপত্রটিতে স্বাক্ষর করেছে এবং সেই সিএর শংসাপত্র ছাড়া অন্য প্রান্তটি তাদের শংসাপত্র পরিবর্তন করতে পারে।
স্পেসম্যানস্পিফ
6
আমি নিশ্চিত না আপনি কী বলছেন তা আমি বুঝতে পেরেছি। আমি তাদের শংসাপত্র স্পষ্টভাবে বিশ্বাস করতে চাই। যদি এটি পরিবর্তন করা হয় তবে আমি আবার স্পষ্টভাবে এটি বিশ্বাস করতে চাই। আমি মূলত ফায়ারফক্সের মতো শংসাপত্রের বিশ্বাসের মডেলটি চাই। ফায়ারফক্সে, যদি শংসাপত্রটি বিদ্যমান বিশ্বস্ত CA এর অধীনে বৈধ না হয় তবে আপনি যেকোন উপায়ে এটির উপর নির্ভর করতে বেছে নিতে পারেন - যদি এটি পরিবর্তন হয় তবে আপনাকে নতুন শংসাপত্রের উপর নির্ভর করতে হবে কারণ এটি স্পষ্টভাবে বিশ্বাসযোগ্য নয়।
বি কেআর
3
just keep changing their certificateযদি দূরবর্তী প্রান্তটি তাদের শংসাপত্র পরিবর্তন করে, তবে এটি আপনি সংরক্ষণ করেছেন তার সাথে এটি মেলে না। আপনি যদি সমস্ত সিএ ব্যবসায় উপেক্ষা করেন, আপনি কি কেবল এটি এসএসএইচ হোস্ট কীগুলির মতো আচরণ করছেন না?
জোরেডেচ
6
বাস্তবে তারা প্রতি 2 বছরে একবার এটি পরিবর্তন করবে। আমি যে এমএস পণ্যটি ব্যবহার করছি তার জন্য এই সংযোগটি https এর মাধ্যমে সুরক্ষিত করা দরকার। সুতরাং এটি বিশ্বাস করতে হবে। কারণ এটি তাদের সিএর সাথে স্বাক্ষরিত হয়েছে আমাকে তাদের সিএ-তে বিশ্বাস করতে হবে - আমি এটি করতে চাই না কারণ এটি একটি নির্দিষ্ট হোস্ট নামের সাথে তাদের সীমিত যোগাযোগের অনুমতি দেওয়ার বিপরীতে আমার সার্ভারে কোনও শংসাপত্র ফাঁকি দিতে দেয়।
বি কেআর
5

আচ্ছা .... আপনি সেই বিশ্বাসের তথ্য অন্যভাবে ক্যাপচার করতে পারেন।

দুর্ভাগ্যক্রমে, এটি কিছুটা জটিল।

আপনার নিজস্ব সিএ তৈরি করুন, তারপরে সম্ভবত ডিএইপি-ইন্টারমিডিয়েট -১ (বা ডিপুট-রুট-সিএ) এর জন্য আপনার সিএর সাথে শংসাপত্র স্বাক্ষর করে, সম্ভবত ডোমেন বিধিনিষেধ যুক্ত করে আপনার নিজস্ব ক্রস-সইনিং ইস্যুয়ার তৈরি করুন। যদি "আসল" ডিপ-ইন্টারমিডিয়েট -১ নিষ্ক্রিয় করা হয় (পছন্দসই) বা অজানা, উইন্ডোজগুলি তার পরিবর্তে আপনার ট্রাস্ট চেইন ব্যবহার করবে।

আমার অন্যান্য উত্তরটি এখানে দেখুন: একটি ডোমেনে রুট শংসাপত্রটি সীমাবদ্ধ করুন

মূল মালিকানার দৃ an়তা উপস্থাপনের জন্য ডিজিটাল স্বাক্ষর ব্যবহার করে শংসাপত্রগুলি এভাবেই কাজ করার কথা। যেহেতু আপনি সার্টিফিকেটটি চাপতে চান এবং কীটি সার্ভারের অন্তর্ভুক্ত তাই আপনি নিজের কর্তৃপক্ষের অধীনে এটিকে নিজেরাই স্বাক্ষর করুন এবং তারপরে সিস্টেমটিকে আপনার উপর বিশ্বাস রাখতে বলুন।

সিএ হায়ারার্কি ব্যতীত শংসাপত্রের অনেকগুলি ইউটিলিটি এখনও রয়েছে , এসএসএইচ কীগুলি প্রদান করে তার উপরে; তার একটি অংশ হচ্ছে তাদের উপর বিধিনিষেধ। মূল ব্যবহার, বৈধতার তারিখ, প্রত্যাহারের তথ্য, ডোমেন বিধিনিষেধ ইত্যাদি The অন্য অংশটি সনাক্তকারী তথ্য; সার্ভার যা কী, ইস্যুকারীর পরিচয়, সিএ নীতি প্রয়োগ করা, কী স্টোরেজ সম্পর্কিত তথ্য ইত্যাদির মালিক

davenpcj
সূত্র
এটা মজার. এই প্রক্রিয়াটি দিয়ে কাজ করার চেষ্টা করার জন্য আমাকে কিছু সময় খুঁজে বের করতে হবে এবং আমি এটি কাজ করতে পারি কিনা তা দেখতে হবে।
বিকেআর
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.