মধ্যবর্তী এসএসএল শংসাপত্র প্রাপ্ত

20

সাবডোমেন শংসাপত্রগুলি স্বাক্ষর করতে এটি ব্যবহার করার জন্য কোনও মধ্যবর্তী শংসাপত্র কেনা সম্ভব? এটি ব্রাউজারগুলির দ্বারা স্বীকৃতি পেতে হবে এবং আমি কোনও ওয়াইল্ডকার্ড শংসাপত্র ব্যবহার করতে পারি না।

অনুসন্ধান এখনও পর্যন্ত কিছুই আপ আপ। কেউ কি এমন শংসাপত্র দিচ্ছেন?

ssl 
অ্যালেক্স বি
সূত্র
3
ডিজিকার্ট এন্টারপ্রাইজ আপনাকে আপনার ডোমেনটিকে প্রি-বৈধ করতে এবং তারপরে বৃহত্তর স্কেল সাবডোমেন শংসাপত্র তৈরি করতে দেয়। (প্রকাশ: আমি ডিজিগের্টের জন্য কাজ করি না, তবে আমার নিয়োগকর্তা তাদের শংসাপত্রের পরিষেবাগুলি ব্যবহার করেন))
মোশে কাটজ

উত্তর:

18

সমস্যাটি হ'ল, বর্তমানে ব্যবহৃত অবকাঠামো এবং বাস্তবায়ন মধ্যবর্তী শংসাপত্রগুলি সমর্থন করে না যা কেবলমাত্র কিছু (সাব) ডোমেনের মধ্যে সীমাবদ্ধ। প্রকৃতপক্ষে, এর অর্থ হ'ল আপনি যে কোনও শংসাপত্রটি স্বাক্ষর করতে আপনি কোনও মধ্যবর্তী শংসাপত্রটি ব্যবহার করতে পারবেন এবং ব্রাউজারগুলি এটি বিশ্বাস করবে, যদিও এটি আপনার নিজের নয় এমন ডোমেনগুলির শংসাপত্র হবে।

সুতরাং, এই ধরনের মধ্যবর্তী শংসাপত্রগুলি কেবল সত্যই বিশ্বাসযোগ্য সংস্থাগুলিকে দেওয়া হয়, এর অর্থ যাই হোক না কেন (তবে প্রচুর অর্থ সম্ভবত জড়িত)।

স্টিফেন আলরিচ
সূত্র
9
হ্যাঁ, কমোডো বা ডিজি নোটারের মতো সত্যই বিশ্বস্ত সংস্থা । অথবা ভেরি সিগন ("আমি একটি মাইক্রোসফ্ট সার্ট খুঁজছি ..." / "আপনি এখানে যান")। তুরকস্ট্র , ডিজিকার্ট এসডেন আরো ...
basic6
আসলে না - তারা তাদের নিজস্ব মূল এবং মধ্যবর্তী চালায়। রুটটি প্রতিস্থাপন করা জটিল - সুতরাং সাধারণত যা করা হয় তা হ'ল একটি অন্তর্বর্তী সিএ শংসাপত্র স্বাক্ষর করতে একটি রুট শংসাপত্র ব্যবহার করে তারপরে রুট সিএ অফলাইন গ্রহণ করুন। ;)
টমটম
কোনও নির্দিষ্ট কারণে গুগলে পিকিং করা, তবে যেহেতু তাদের একটি মধ্যবর্তী সিএ রয়েছে এবং শংসাপত্রগুলি বিক্রি করে না, এমআইটিএমের জন্য তাত্পর্যপূর্ণ এসএমটিপি করে একজোড়া হোস্টের মধ্যে দ্রুত সনাক্তকরণ ব্যতীত এটি চুরি ও অপব্যবহারের যুক্তিসঙ্গত সম্ভাবনা রয়েছে। আমি সন্দেহ করি যে গুগল ইস্যু করা কোনও এসএমটিপি সংযোগের জন্য যদি কোনও সার্টি বদলে যায় তবে বেশ কিছু সংখ্যক সিসাদমিনই খুব বেশি ভাবেন না।
ফিল লেলো
... প্রকৃতপক্ষে, কোনও ব্যবসা যখন ইমেলের জন্য গুগল অ্যাপ্লিকেশনগুলিতে স্যুইচ করে তখন এমনটি ঘটে।
ফিল লেলো
আসলে বর্তমান পিকেআই স্পষ্টভাবে এটি সমর্থন করে। আরএফসি 5280 বিভাগ নাম সীমাবদ্ধতার এক্সটেনশন সংজ্ঞায়িত করে যা তারা কোন ডোমেনগুলি তৈরি করতে পারে তার উপর বিধিনিষেধ সহ একটি মধ্যবর্তী সিএ তৈরির অনুমতি দেয়। সমস্যাটি হচ্ছে এটি ব্যবহারিকভাবে কার্যকর হয় নি।
জেক
7

না, কারণ এটি মূল শংসাপত্রের লঙ্ঘন হবে - ব্রাউজারগুলি আপনার শংসাপত্রগুলিকে বিশ্বাস করবে এবং আপনি গুগল.কম ইত্যাদির জন্য জিনিস সরবরাহ করতে শুরু করতে পারেন - এবং আপনি যদি স্মার্টটি করেন তবে আপনার পাওয়া সহজ হবে না।

অন্তর্বর্তী শংসাপত্র কর্তৃপক্ষের অনেক ক্ষমতা আছে। একটি মধ্যবর্তী সিএ হ'ল একটি শংসাপত্র স্বাক্ষরকারী কর্তৃপক্ষ - যা মূল শংসাপত্রের মাধ্যমে বিশ্বাসযোগ্য - এবং নির্দিষ্টকরণের কিছুই অধস্তন CA কে সীমাবদ্ধ করতে দেয় না।

যেমন, কোনও নামী শংসাপত্রের সংস্থা আপনাকে একটি উপহার দিচ্ছে না।

টমটম
সূত্র
3
অবশ্যই তবে আমি এই ধারণাটির মধ্যে ছিলাম যে আপনি অন্তর্বর্তী শংসাপত্রের সুযোগটি (যেমন একটি একক ডোমেনে) সীমাবদ্ধ করতে পারেন। অন্য উত্তরটি বোঝায় যে বিষয়টি তেমনটি নয়।
অ্যালেক্স বি
1
এটা ঘটনা না। একটি মধ্যবর্তী সিএ হ'ল একটি শংসাপত্র স্বাক্ষরকারী কর্তৃপক্ষ - যা মূল শংসাপত্রের মাধ্যমে বিশ্বাসযোগ্য - এবং নির্দিষ্টকরণের কিছুই অধস্তন CA কে সীমাবদ্ধ করতে দেয় না।
টমটম
@ টমটম: ভাল ব্যাখ্যা। আমি আপনার উত্তরে আপনার মন্তব্য সম্পাদনা করার স্বাধীনতা গ্রহণ করেছি।
স্লেসকে
@ আলেক্সব আমি বিশ্বাস করি এটি একটি অনুমানের একটি ঘটনা এটির অনুমতি দেয় তবে আপনি এটি সমর্থন করার জন্য ক্লায়েন্ট বাস্তবায়নের উপর নির্ভর করতে পারবেন না। দুর্ভাগ্যক্রমে আমি একটি তথ্য খুঁজে পাচ্ছি না তবে যথেষ্ট আত্মবিশ্বাসী।
ফিল লেলো
5

জিও ট্রাস্ট থেকে বৈধ সিএ কেনা / সম্ভব ছিল।

আমি ইংরেজি পৃষ্ঠাগুলিতে পণ্যটি সন্ধান করতে পারিনি, তবে এখানে একটি সংরক্ষণাগারযুক্ত সংস্করণ রয়েছে:

http://archive.is/q01DZ

জিওরूट কেনার জন্য আপনাকে অবশ্যই নিম্নলিখিত ন্যূনতম প্রয়োজনীয়তাগুলি পূরণ করতে হবে:

  • 5 মিলিয়ন ডলার বা তারও বেশি মূল্যের মূল্য
  • ত্রুটি এবং ওমিশন বীমা সর্বনিম্ন $ 5M
  • নিবন্ধগুলি (বা অনুরূপ) এবং প্রদত্ত একটি শংসাপত্রের শংসাপত্র
  • একটি লিখিত এবং রক্ষণাবেক্ষণ শংসাপত্রের অনুশীলন বিবৃতি (সিপিএস)
  • আপনার মূল শংসাপত্র কীগুলি উত্পন্ন এবং সঞ্চয় করার জন্য একটি এফএডিসি 140-2 স্তর 2 কমপ্লায়েন্ট ডিভাইস (জিওট্রাস্ট সেফনেট, ইনক। এর সাথে অংশীদারিত্ব করেছে)
  • বাল্টিমোর / অবিশ্বস্ত, এনট্রাস্ট, মাইক্রোসফ্ট, নেটস্কেপ বা আরএসএর একটি অনুমোদিত সিএ পণ্য

পণ্যটি এখনও তাদের জার্মান পৃষ্ঠায় উপলভ্য:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

moander
সূত্র
4

(এটি একটি পুরানো প্রশ্নের নতুন উত্তর কারণ আমার বিশ্বাস যে এটি বুঝতে সহায়তা করে যে শংসাপত্র এবং CA এর পিছনে কোনও "যাদু" নেই)

@ স্টেফেন আলরিচ প্রদত্ত অনুমোদিত উত্তরের একটি বর্ধন হিসাবে

ওয়েবসাইটগুলির জিনিস সনাক্ত করার সম্পূর্ণ শংসাপত্রটি কেবল একটি বড় অর্থের ব্যবসা is X509 সার্টিফিকেট দ্বারা (অন্যদের মধ্যে) সংজ্ঞায়িত করা হয় RFC5280 কেউ একটি রুট সিএ বা কোন মধ্যবর্তী CA হতে পারে, এটা সব ট্রাস্ট আপনি যে সত্তা সংক্রান্ত আছে উপর নির্ভর করে।

উদাহরণস্বরূপ: আপনি যদি কোনও অ্যাক্টিভ ডিরেক্টরি ডোমেনে থাকেন তবে আপনার প্রাথমিক ডোমেন নিয়ামকটি ডিফল্টরূপে একটি বিশ্বস্ত রুট সার্টিফিকেশন কর্তৃপক্ষ। এদিকে, অন্য কোনও তৃতীয় পক্ষের একেবারেই জড়িত নেই।

বিস্তৃত ইন্টারনেটে বিষয়টি হ'ল "আপনি কাকে বিশ্বাস করতে পারেন" সনাক্ত করা কারণ এটি কেবলমাত্র একটি সংস্থার চেয়ে অনেক বড়। এবং সেইজন্য, ব্রাউজার বিক্রেতারা রুট সিএর একটি কাস্টম স্বেচ্ছাসেবী তালিকা সরবরাহ করে যা এটি আপনার সম্মতির জন্য অনুরোধ না করে বিশ্বাস করবে।

উদাহরণস্বরূপ: আপনার যদি মজিলা ফাউন্ডেশনের সাথে খুব ভাল সম্পর্ক থাকে তবে আপনার নিজের ইচ্ছামত স্ব-স্বাক্ষরিত রুট সিএ তাদের ফায়ারফক্স ব্রাউজারের পরবর্তী প্রকাশের তালিকায় যুক্ত হতে পারে ... কেবলমাত্র তারা সিদ্ধান্ত নিয়েছে বলে!

অধিকন্তু, এমন কোনও আরএফসি নেই যা ব্রাউজারদের শংসাপত্রগুলি সম্পর্কে কী আচরণ করতে হবে তার বিধি এবং নিয়মগুলি সংজ্ঞায়িত করে। এটি একটি অন্তর্নিহিত sensকমত্য যা শংসাপত্রের "সিএন" ডোমেন নামের সাথে সমান, এটি মিলবে বলে মনে করা হচ্ছে।

যেহেতু এটি কোনও পর্যায়ে পর্যাপ্ত ছিল না, ব্রাউজার বিক্রেতারা সকলেই সুস্পষ্টভাবে বয়সের যে ফর্মের একটি ওয়াইল্ডকার্ড শংসাপত্র *.domain.comকোনও সাবডোমেইনের সাথে মেলে। তবে এটি মাত্র একটি স্তরের সাথে মেলে: না sub.sub.domain.comকেন? কারণ তারা ঠিক তাই সিদ্ধান্ত নিয়েছে।

এখন আপনার আসল প্রশ্ন সম্পর্কে, আপনার প্রাথমিক ডোমেন শংসাপত্রকে আপনার নিজের সাবডোমাইনগুলির জন্য সাব-শংসাপত্র তৈরি করার অনুমতি দেওয়া কী হবে তা রোধ করবে, এটি কেবলমাত্র শংসাপত্র শৃঙ্খলা পেয়ে ব্রাউজারের জন্য পরীক্ষা করা সহজ প্রক্রিয়া।

উত্তর: কিছুই না

(প্রযুক্তিগতভাবে বাদে এটি করার জন্য আপনার নিজের ডোমেন শংসাপত্রে একটি "পতাকা" থাকা উচিত)

ব্রোসওয়ার্স বিক্রেতারা যদি এটিকে যথেষ্ট সুবিধাজনক মনে করেন তবে এটি সমর্থন করার সিদ্ধান্ত নিতে পারে।

যাইহোক, আমার প্রথম বিবৃতিতে ফিরে, এটি বড় অর্থের ব্যবসা money সুতরাং যে কয়েকটি রুট সিএ ব্রাউজার বিক্রেতাদের সাথে চুক্তি রয়েছে সেই তালিকাটিতে উপস্থিত হওয়ার জন্য প্রচুর পরিমাণে অর্থ ব্যয় করছে। এবং আজ, তারা সেই অর্থ ফেরত পেয়েছে কারণ আপনাকে প্রতিটি স্বতন্ত্র ডোমেইন শংসাপত্রের জন্য অর্থ প্রদান করতে হবে বা একটি ওয়াইল্ডকার্ড পেতে হবে যা অনেক বেশি ব্যয়বহুল। যদি তারা আপনাকে আপনার নিজস্ব সাবডোমেন শংসাপত্র তৈরি করতে দেয় তবে এটি তাদের লাভকে মারাত্মকভাবে হ্রাস করবে। সুতরাং এই কারণেই আজকের দিনে আপনি এটি করতে পারবেন না।

ঠিক আছে, আপনি এখনও পারেন, কারণ এটি কঠোরভাবে বৈধ x509 শংসাপত্র হবে, তবে কোনও ব্রাউজার এটি স্বীকৃতি দেবে না।

সাইমন
সূত্র
আপনার এডি উদাহরণ সহ গৌণ নিটপিক। অ্যাক্টিভ ডিরেক্টরি নিজেই পিকেআই অবকাঠামো ব্যবহার করে না বা ধারণ করে না। আপনাকে এটি আলাদাভাবে স্পিন করতে হবে এবং চেইনকে বিশ্বাস করতে ডোমেনটি বৈকল্পিকভাবে কনফিগার করতে হবে এবং তারপরে ডোমেন নিয়ন্ত্রকদের জন্য শংসাপত্র তৈরি করতে হবে। অন্যথায়, ভাল উত্তর।
রায়ান বোলার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.