আমাকে একটি ওয়াইল্ডকার্ড এসএসএল শংসাপত্রের জন্য একটি সিএসআর তৈরি করতে হবে। এসএসএল সরবরাহকারীদের কিছু জিজ্ঞাসিত প্রশ্নাবলী বলছে যে যেখানে আমি শংসাপত্রটি ইনস্টল করতে চাইছি সেখানে আমার সিএসআর ফাইলটি তৈরি করা উচিত? আমার বোধগম্যতা হল আমি যতক্ষণ সিএসআর বা মূল ফাইলটি তৈরি করি ততক্ষণ যতক্ষণ না আমি ফাইলগুলি পরে সঠিক স্থানে সরিয়ে নিয়েছি তা বিবেচনা করা উচিত।
সুতরাং আমার প্রশ্নটি হল: এসএসএল শংসাপত্রের জন্য সিএসআর এবং কী ফাইলগুলি কোথায় উত্পন্ন হয় তা বিবেচনা করে?
উত্তর:
আপনার বোঝাপড়াটি সঠিক। অন্যান্য সমস্ত জিনিস সমান হচ্ছে, এতে কিছু যায় আসে না; তবে ঝকঝকে আছে।
প্রশ্নে সার্ভারে এগুলি উত্পন্ন করার একটি সুবিধা হ'ল ট্রানজিটে কী কীভাবে আপস করা হচ্ছে তার সম্ভাবনাটি হ্রাস করে। যতক্ষণ না আপনি এগুলি উত্পন্ন করতে কোনও সুরক্ষিত মেশিন ব্যবহার করেন এবং সেগুলিতে সার্ভারে স্থানান্তরিত করার জন্য একটি সুরক্ষিত পদ্ধতি (এমআইটিএম আক্রমণ প্রতিরোধক), আপনি এড়াতে পারবেন না। জেনারেটিং সিস্টেমে এগুলিকে নিরাপদে-মুছতে ভুলবেন না, যদি না আপনি ইচ্ছাকৃতভাবে অনুলিপিগুলি রাখার পরিকল্পনা করেন এবং সেই অনুযায়ী সুরক্ষিত না হন।
আলাদা মেশিনে উত্পন্ন করার একটি সুবিধা: সাধারণত, এটি আপনার ডেস্কটপ হবে। একটি ডেস্কটপ মেশিনে ইন্ট্রপি পুলটি অবিরত সার্ভারের চেয়ে প্রায় সর্বদা গভীর, কারণ ডেস্কটপে কীবোর্ড এবং মাউস কেবলগুলি (যেমন, আপনি!) এর মাধ্যমে সংযুক্ত এলোমেলোতার একটি বৃহত উত্স রয়েছে। এনট্রপির সংকট হ'ল হয় মূল প্রজন্মকে দীর্ঘ সময় নিতে পারে বা /dev/urandomপরিবর্তিত পিআরএনজি আউটপুট ব্যবহারের কারণ হতে পারে , উত্পাদক সরঞ্জামটি কতটা বেমানান, তার উপর নির্ভর করে এবং এটি দুর্বল কীগুলি হতে পারে; ডেস্কটপ মেশিনগুলির এই সমস্যা না হওয়ার ঝোঁক।
পরে সম্পাদনা করুন : এখানে সংযুক্ত অন্য যে কোনও আলোচনার অনুসারে দুটি পয়েন্ট উত্থাপিত হয়েছে। প্রথমত, আপনি যেমন আপনার ডেস্কটপে এনট্রপি তৈরি করে একটি অর্ধপথের বাড়ির উদ্দেশ্যে যেতে পারেন যেমন dd if=/dev/random bs=1k count=10 of=/tmp/entropy.dat, দূরবর্তী সার্ভারে অনুলিপি করে এবং সরাসরি বা দূরবর্তী সার্ভারের এন্ট্রপি পুলটি গভীর করে আপনার কী প্রজন্মের প্রক্রিয়ায় এটি খাওয়ান। আমি আগেরটি করার কোনও উপায় এখনও পাইনি, এবং দ্বিতীয়টি করার জন্য সাধারণত প্রচেষ্টার সুযোগ প্রয়োজন, যা - যদি আপনার এবং দূরবর্তী সার্ভারের মধ্যে চ্যানেলটি সুরক্ষিত না হয়, যা পুরো আপত্তিটির মূল বিষয় - তবে এটিও অনিরাপদ।
দ্বিতীয়ত, অনুমানযোগ্য mjg59 হার্ডওয়্যার সুরক্ষা মডিউলগুলির ইস্যু উত্থাপন করে - এটি, আপনি যে ডিভাইসগুলি রেখেছেন বা তার ভিতরে আপনি তৈরি করেন, ব্যক্তিগত কী এবং যা কীটি কখনও ছাড়তে না দিয়ে কী অপ্স সম্পাদন করে। এটি একটি দুর্দান্ত পয়েন্ট, তবে এই প্রশ্নের ক্ষেত্রের বাইরে।
তবে থ্রেডের আরও সাধারণ ফলাফল - আপনার একটি হুমকির সুনির্দিষ্ট মডেল হওয়া উচিত এবং আপনার প্রতিক্রিয়াগুলি যথাযথভাবে চয়ন করা উচিত - এটি একটি ভাল। আমার হুমকি মডেলটি হ'ল আমার যোগাযোগ চ্যানেলগুলি সুরক্ষিত তবে আমার শেষ পয়েন্টগুলি বুদ্ধিমান আক্রমণে রয়েছে। এর অর্থ আমি স্থানীয়ভাবে এনট্রপিকালি-শক্তিশালী এসএসএল কী-পিয়ারগুলি উত্পন্ন করব এবং সেগুলি বিতরণ করব। যদি এটির সক্রিয় হয়ে যায় যে আমার মডেলটি সঠিক নয় এবং আমার কমসগুলি ঝুঁকিপূর্ণ হয়ে উঠেছে, আমি অবিলম্বে ধরে নেব যে আমার সমস্ত এসএসএল কীপাসগুলি আপোস করেছে। যদি আপনার হুমকির মডেল পৃথক হয় তবে আপনার অনুশীলনগুলি সেই অনুযায়ী স্থায়ী করা উচিত।
এটা কিছুটা গুরুত্বপূর্ণ।
যদি আপনি এগুলি অন্য কোনও মেশিনে তৈরি করেন তবে কীগুলি উত্পাদক মেশিনে এবং তারপরে সার্ভারে দুর্বল। যদি আপনি তাদের সংক্রামিত করতে কোনও সংক্রামিত মেশিন ব্যবহার করেন তবে কিছু ভাইরি সেগুলি নিরাপদে সার্ভারে স্থানান্তরিত করার আগেই কীগুলি চুরি করতে পারে।
আপনি যদি সেগুলি সুরক্ষিত সার্ভারে উত্পন্ন করেন এবং কেবল সিএসআর / সার্টের চারপাশে সরিয়ে নিয়ে যান তবে কেউ ব্যক্তিগত প্রাইভেট কী পাওয়ার সম্ভাবনা কম থাকে তবে প্রাইভেট কীটি কেবল একটি মেশিনে অবস্থিত।