HTTP সংযোগটি এসএসএল / টিএলএসে আপগ্রেড করুন

আমার কাছে বর্তমানে একটি সার্ভার রয়েছে যা সমস্ত HTTP অনুরোধগুলিকে স্বয়ংক্রিয়ভাবে সমতুল্য এইচটিটিপিএস সাইটে পুনঃনির্দেশ করে। সমস্যাটি মনে হচ্ছে কিছু ব্রাউজারগুলি এসএসএল শংসাপত্র (স্টার্টএসএসএল.কম) গ্রহণ করে না বা এসএনআই সমর্থন করে না, সুতরাং তারা একটি শংসাপত্রের সতর্কতা পেয়ে যায় এবং ব্যবহারকারীরা ওয়েবসাইটে সার্ফিং চালিয়ে যান না।

এমন কোনও প্রক্রিয়া রয়েছে যা ব্রাউজারটি সরল এইচটিটিপি এর পরিবর্তে এইচটিটিপিএস ব্যবহার করার চেষ্টা করে এবং যখন এটি কাজ করে না (যেমন শংসাপত্রটি গৃহীত হয় না বা এসএনআই সমর্থিত নয়) এটি HTTP ব্যবহার চালিয়ে যায়।

বর্তমানে আমি একাধিক ভার্চুয়াল হোস্টের সাথে অ্যাপাচি ২.৪ ব্যবহার করছি যা সমস্ত HTTP সংযোগের সাথে পুনঃনির্দেশ করে Redirect / https://domain.example/।

Https কাজ না করে কোনও ব্রাউজার নিজেই কখনই http এ ডাউনগ্রেড হওয়া উচিত নয়, কারণ সমস্ত আক্রমণকারীকেই করতে হবে https অনুপলব্ধ (যেমন ব্লক পোর্ট 443)। সুতরাং এটি করার একমাত্র উপায় হ'ল সার্ভার থেকে ব্রাউজারকে এটি করার নির্দেশ দেওয়া, যেমন একটি HTTP পুনর্নির্দেশ পাঠিয়ে। অবশ্যই এটি একটি সুরক্ষিত সংযোগের মাধ্যমে প্রেরণ করা উচিত (অন্যথায় মধ্যবয়সী কোনও ব্যক্তি এটি নকল করতে পারে) তবে দুর্ভাগ্যক্রমে এটি ঠিক আপনার সমস্যা যা নিরাপদ সংযোগ ব্যর্থ হয়।

সংক্ষেপে: না, এটি সম্ভব নয় এবং এটি এইভাবে ভাল better

বিটিডাব্লু, সমস্ত আধুনিক ব্রাউজারগুলি এসএনআই সমর্থন করে তবে সমস্ত অ্যাপ্লিকেশন (যেমন জাভা অ্যাপ্লিকেশন ইত্যাদি) তা করে না। ওয়েব সার্ভারে আপনার যদি একাধিক ডোমেন থাকে তবে এই অ্যাপ্লিকেশনগুলির প্রয়োজন কেবলমাত্র একটি একক আপনি এই ডোমেনটির জন্য শংসাপত্রটি ডিফল্ট হিসাবে সেট করতে পারেন। অন্যথায় আপনাকে এমন একটি (আরও ব্যয়বহুল) শংসাপত্র গ্রহণ করতে হবে যা সাবজেক্ট বিকল্প নাম হিসাবে প্রয়োজনীয় সমস্ত ডোমেন ধারণ করে।

অন্য একটি ধারণা দিয়ে সম্পাদনা করুন: আপনি যা করতে চেষ্টা করতে পারেন তা হ'ল আপনার পাশ থেকে একটি চিত্র https হিসাবে ডাউনলোড করা এবং ইমগ-ট্যাগে একটি অনার হ্যান্ডলারের সাহায্যে সাফল্য পরীক্ষা করা। হতে পারে এটি ব্যবহারকারীর দ্বারা দৃশ্যমান সতর্কতাটিকে ট্রিগার করে না তবে পরিবর্তে লোড করতে ব্যর্থ হয়। এবং যদি এটি সফল হয় তবে আপনি জানেন যে https অ্যাক্সেস সম্ভব এবং ব্যবহারকারীর পুনঃনির্দেশ।

এ ছাড়া আপনাকে নিজেকে জিজ্ঞাসা করতে হবে, আপনি কেন https অফার করতে চান তা যদি আপনি এইচপি-র মাধ্যমে অ্যাক্সেস গ্রহণ করেন। হয় এমন ডেটা রয়েছে যা সংরক্ষণ করা উচিত বা সেগুলি নয়। যতক্ষণ আপনি HTTP তে ফ্যালব্যাক অফার করেন ততক্ষণ আক্রমণকারীর পক্ষে https এর পরিবর্তে http প্রয়োগ করা সহজ।

সবার আগে এসএনআই সমর্থন না থাকা সমস্ত ক্লায়েন্টদের জন্য একটি শংসাপত্র নির্দিষ্ট করা সম্ভব should এই আইপি ঠিকানায় হোস্ট করা সমস্ত ডোমেনের অর্থ, আপনি কমপক্ষে একটিতে এসএনআই ছাড়াই ক্লায়েন্টদের জন্য কাজ করতে পারেন।

HTTP থেকে https এ পুনঃনির্দেশের সময় আপনি যা করতে পারেন তা দুটি পর্যায়ে পুনঃনির্দেশ। HTTP থেকে https এ প্রথম পুনর্নির্দেশটি ডোমেন নাম ব্যবহার করে, যা আপনি নিশ্চিত করেছেন যে এসএনআই সমর্থন সহ বা ছাড়া কাজ করবে। সম্পূর্ণ আসল URL টি অন্তর্ভুক্ত করতে হবে, যেমন এই https সাইট থেকে আপনি পরে যথাযথটিতে পুনর্নির্দেশ করতে পারেন।

ডোমেন নাম, যা এসএনআইয়ের সাথে বা ছাড়াই কাজ করে, ক্লায়েন্টের দ্বারা এসএনআই সমর্থিত কিনা তা নির্ভর করে ভিন্ন আচরণ করতে পারে। এইভাবে আপনি ক্লায়েন্টকে SNI সমর্থিত কোনও ডোমেইনে পুনঃনির্দেশ করার আগে আপনি জানতে পারবেন, যার জন্য এসএনআই প্রয়োজন।

অ্যাপাচে এটি কীভাবে কনফিগার করতে হবে তা আমার পক্ষ থেকে অনুমান করার মতো কিছু হতে চলেছে (যেহেতু আমি একাধিক শংসাপত্রের সাথে অ্যাপাচিকে কখনই কনফিগার করেছি না)। আমার ধারণা, এটি করার উপায়টি হ'ল মধ্যবর্তী ডোমেন সহ সমস্ত ডোমেনের জন্য নাম ভিত্তিক ভার্চুয়াল হোস্ট তৈরি করা।

তারপরে এসএনআই ছাড়াই ক্লায়েন্টদের জন্য একটি ডিফল্ট ভার্চুয়াল হোস্ট তৈরি করুন, যা নাম ব্যবহার করে একই সার্টিফিকেট ব্যবহার করে। অভিন্ন শংসাপত্র সহ এই দুটি ভার্চুয়াল হোস্ট, তারা এসএনআই সমর্থন করে কিনা তার উপর নির্ভর করে ক্লায়েন্টগুলিকে বিভিন্ন পুনর্নির্দেশ পাঠাবে।

শেষ অবধি, আমি সার্ভারে IPv6 সক্ষম করব। আইপিভি 6 দিয়ে আপনি পর্যাপ্ত আইপি অ্যাড্রেস পাবেন যা আপনি প্রতিটি ভার্চুয়াল হোস্টের জন্য একটি বরাদ্দ করতে পারবেন। একই ভার্চুয়াল হোস্টগুলির নাম আইপিভি 4 এবং আইপিভি 6 এর উপর ভিত্তি করে আইপি করা যেতে পারে, সুতরাং আপনাকে কোনও কনফিগারেশন এইভাবে সদৃশ করতে হবে না।

শেষ ফলাফলটি এমন একটি সেটআপ হবে যা ক্লায়েন্টকে এসএনআই বা আইপিভি 6 সমর্থন করে যতক্ষণ কাজ করে। কেবলমাত্র ক্লায়েন্টগুলি যা উভয়ই সমর্থন করে না তাদের তখনই সমস্যা থাকবে তবে আপনি এখনও সেগুলি সনাক্ত করতে সক্ষম হবেন এবং কোনও ভিন্ন পুনর্নির্দেশ বা ত্রুটি বার্তাটি সার্ভার করতে পারবেন।

যেমন ক্লায়েন্টদের সিএ পছন্দ হয় না তাদের জন্য, আমার একমাত্র পরামর্শ হ'ল তাদের ব্যবহারকারী-এজেন্ট দ্বারা তাদের সনাক্ত করা এবং আপনি কীভাবে উপযুক্ত বলে মনে করেন তা পরিচালনা করুন। আপনার https সাইটের কোনও লিঙ্ক রয়েছে তা নিশ্চিত করুন, ভুলক্রমে আপনি যদি অনেক বেশি ক্লায়েন্টকে অন্তর্ভুক্ত করেন তবে তারা ক্লিক করতে পারে।

কেবল একটি বুনো অনুমান: এটি কি হতে পারে যে আপনি আপনার অ্যাপাচি কনফিগারেশনে কোনও এসএসএল সার্টিফিকেট চেইনফিলের নির্দেশনা না পেয়ে যাতে স্টার্টএসএল-এর জন্য আপনার প্রয়োজনীয় সাব-ক্লাস ১.সারভার.ca.pem ফাইল অন্তর্ভুক্ত রয়েছে?