কেন অ্যাপাচি এসএসএল শংসাপত্র এবং ব্যক্তিগত কী আলাদা ফাইলগুলিতে সঞ্চয় করবেন?

11

জন্য অ্যাপাচি mod_ssl ডকুমেন্টেশন SSLCertificateFile এবং SSLCertificateKeyFile নির্দেশনা রাজ্যের হয় যে 'জোরালোভাবে নিরুৎসাহিত' একটি প্রাইভেট কী ও একই ফাইলের মধ্যে একটি SSL শংসাপত্র জমা করার।

এখন স্পষ্টতই ব্যক্তিগত কী ফাইলটি সুরক্ষিত রাখা উচিত, তবে এটি ধরে নিলে একই ফাইলটিতে একটি শংসাপত্র সংরক্ষণ করার কোনও বিশেষ ঝুঁকি রয়েছে? আমি কেন এই আচরণটি সমর্থিত তা জানতে আগ্রহী, এবং তবুও ব্যাখ্যা ছাড়াই দৃ strongly়ভাবে নিরুৎসাহিত হয়েছি।

apache-2.2  ssl  web-server  mod-ssl 
Vortura
সূত্র

উত্তর:

15

এসএসএল শংসাপত্র ফাইলটি একটি লক।
এসএসএল শংসাপত্র কী ফাইলটি এর চাবিকাঠি।

দু'জনকে একসাথে সংরক্ষণ করা আপনার সামনের দরজার লকটিতে আপনার চাবিটি ট্যাপ করার সমতুল্য।
যদি কোনও আক্রমণকারী একক ফাইলের সাথে আপস করে তবে তাদের কাছে আপনার ওয়েবসাইট (শংসাপত্র এবং প্রাইভেট কী) সফলভাবে ছদ্মবেশে লাগানোর জন্য প্রয়োজনীয় সমস্ত কিছু রয়েছে।

এটি বিশেষত সত্য যদি আপনার এসএসএল কীতে পাসফ্রেজ না থাকে (অনেক ওয়েব সার্ভারগুলি ক্র্যাশ হওয়ার পরে সেগুলি স্বয়ংক্রিয়ভাবে শুরু করার অনুমতি দেয় না)।

ফাইলগুলি পৃথক করে আপনি যেটির বিরুদ্ধে প্রতিরক্ষা করছেন সেটি হ'ল একটি অ্যাপাচি বাগ যা SSLCertificateFileওয়েব ক্লায়েন্টের (যেটি প্রকাশ্যে উপলভ্য হওয়া উচিত) বিষয়বস্তু ডাম্প করে দেয় ।
(আমার জানা মতে এ জাতীয় কোনও ত্রুটি নেই, বা অস্তিত্ব নেই, তবে অ্যাপাচি একটি বৃহত, জটিল সফটওয়্যার piece এটি সম্পূর্ণ সম্ভব))

যদি আপাচি এই ফাইলটি ডাম্প করে দেয় এবং এর মধ্যে থাকা সমস্তগুলি SSL সার্টিফিকেট (লক) থাকে তাতে কোনও সমস্যা নেই: যেভাবেই হোক তারা সার্ভারে কোনও এসএসএল অনুরোধ করলে প্রত্যেককে সেই শংসাপত্রের একটি অনুলিপি পাওয়া যায়।
যদি ফাইলটিতে কী থাকে তবে আপনি সুরক্ষার কোনও সুযোগও উড়িয়ে দিয়েছেন - আপনার পুরো এনক্রিপশন মডেলটি আপস করা হয়েছে এবং আপনার কীগুলি পরিবর্তন করতে হবে।

voretaq7
সূত্র
ধন্যবাদ, তাত্ত্বিক বাগ যা ওয়েব সার্ভারকে সার্বজনীন সার্টের সাথে প্রাইভেট কী সরবরাহ করতে বাধ্য করেছিল তাও আমার সেরা অনুমান। আমি সত্যিই একমত নই যে চাবি এবং সার্টিফিকেট একই ফাইলটিতে লাগানো সামনের দরজার চাবিটি টেপ করার সমতুল্য, তবে সমানভাবে, আমি এটি করার কোনও ভাল কারণটি ভাবতে পারি না।
ভোর্টুরা
1
এটি সম্ভবত দরজার চাবিটি টেপ করার মতো খারাপ নয় - সম্ভবত দরজার
ফ্রেমের শীর্ষে
7

ওপেনএসএসএল-এর পুরানো সংস্করণগুলির জন্য দুটি পৃথক ফাইলের প্রয়োজন (সরকারী এবং ব্যক্তিগত)। অন্যান্য ক্রিপ্টো ইঞ্জিনগুলির পুরানো সংস্করণগুলির জন্য একটি একক ফাইলের প্রয়োজন (একই ফাইল উভয়)। সামঞ্জস্যতার "স্পিরিট" এ (ওরফে "অ্যাডমিনের অসঙ্গতি সম্পর্কে ডাকাডাকি করে এবং দুটি সার্টিফিকেট বজায় রেখেছেন), এখন বেশিরভাগই উভয়কে সমর্থন করে।

উভয় শংসাপত্র (কী কী চেইন) একটি ফাইলে সংরক্ষণ করা নিরুৎসাহিত করা হয় কারণ বিভিন্ন শংসাপত্রের আলাদা স্কোপ থাকে। এটি কোনও প্রযুক্তিগত সমস্যাগুলির চেয়ে সামঞ্জস্যতার বিষয়, যেখানে সর্বজনীন সার্টিফিকেটে প্রকাশ্যে পঠনযোগ্য ফাইল অনুমতি থাকতে হবে এবং তার বিপরীতে ব্যক্তিগত ক্ষেত্রে। আপনার সিস্টেমে আপনার সার্বজনীন শংসাপত্রটিকে লক এবং কী এর আওতায় রাখার কোনও আশঙ্কা নেই, এটি কেবল তার উদ্দেশ্যটির সাথেই বেমানান।

ক্রিস এস
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.