কীভাবে আমি আমাদের ওয়েবসাইটের জন্য এসএসএল কীটি গোপনীয় রাখতে পারি?

12

আমি আমাদের ওয়েবসাইটের জন্য আমাদের এসএসএল কীটি গোপনীয় রাখতে চাই। এটি 2 ইউএসবি স্টিকের মধ্যে সংরক্ষণ করা হয়, একটি নিরাপদ আমানত বাক্সে এবং একটি আমি সুরক্ষিত রাখি। এবং তারপরে আমিই একমাত্র যিনি এটি ওয়েব সার্ভারে প্রয়োগ করে যাতে এটি সম্পূর্ণ সুরক্ষিত থাকে।

ছাড়া ...

অন্তত আইআইএসে, আপনি কীটি রফতানি করতে পারেন। সুতরাং যে কেউ প্রশাসক সে কীটির অনুলিপি পেতে পারেন। এই কাছাকাছি কোন উপায় আছে? বা সংজ্ঞা অনুসারে সমস্ত প্রশাসকের সমস্ত কীতে সম্পূর্ণ অ্যাক্সেস থাকে?

আপডেট: আমার সিস্টেমেডমিন রয়েছে আমার সম্পূর্ণ বিশ্বাস। এর ফলে যা ঘটেছিল তা হ'ল তাদের মধ্যে একটি ছাড়ুন (তাদের আমাদের কোম্পানিতে এক ঘণ্টার যাত্রা ছিল, নতুনটিতে 5 মিনিটের যাত্রা ছিল)। যদিও আমি এই ব্যক্তির উপর নির্ভর করি, যখনই কেউ চলে যায় তখন আমরা যেমন তাদের অ্যাক্টিভ ডিরেক্টরি অ্যাকাউন্টটি অক্ষম করি, তখন আমি ভেবেছিলাম যে আমাদের বীমা করা উচিত যাতে তারা আমাদের এসএসএল ব্যবহারের ক্ষমতা ধরে না রাখে a

এবং যেটি আমাকে সবচেয়ে সহজ বলেছিল তা হ'ল যদি আমি কেবল এটির কাছে থাকি। আমাদের সার্টিফিকেট জানুয়ারিতে শেষ হয় তাই এই সময়টি অনুশীলনকে পরিবর্তন করার সময় পারলে আমরা পারতাম। উত্তরের উপর ভিত্তি করে দেখে মনে হচ্ছে আমরা পারছি না।

সুতরাং এটি একটি নতুন প্রশ্নের দিকে পরিচালিত করে - যখন প্রত্যেকে সেরেটের পাতায় প্রবেশ করতে পারে তখন নতুন সার্টিফিকেট পাওয়া এবং বিদ্যমানটিকে প্রত্যাহার করা কি স্ট্যান্ডার্ড অনুশীলন? বা যে ব্যক্তিটি রেখে গেছে সে যদি বিশ্বাসযোগ্য হয়, তবে আমরা কি আমাদের কাছে থাকা শংসাপত্রটি দিয়ে যাব?

ssl  certificate  iis 
ডেভিড থিলেন
সূত্র
5
এমনকি আপনি যে সার্ভারটি ব্যবহার করছেন তা আপনাকে এটি রফতানি করার অনুমতি না দিলেও, এটি এখনও মেমরির মধ্যে থাকতে পারে এবং এভাবেই বের করা যেতে পারে। আমি দেখতে পাই কেবলমাত্র একটি বিকল্প একটি হার্ডওয়্যার ক্রিপ্টো মডিউল ব্যবহার করছে, স্মার্টকার্ডের মতো চাবি দিয়ে কেবল তিনজনই থাকতে পারে তবে মেশিনে শারীরিক অ্যাক্সেস সহ যে কেউ এটিকে চুরি করতে পারে। এটি চুরি হয়ে গেলে আপনি এখনও তা প্রত্যাহার করতে পারেন।
ব্যবহারকারী 2313067
27
আপনি যদি আপনার প্রশাসকদের বিশ্বাস করতে না পারেন তবে আপনার এইচআর সমস্যা আছে।
মাইকেল হ্যাম্পটন
5
আপনি প্রথমে সেই ইউএসবি মিডিয়াতে কীটি অনুলিপি করলেন? এসএসএলের সাথে ব্যবহৃত গোপন কীটি যেখানে ব্যবহৃত সার্ভারের চেয়ে অন্য কোনও স্থানে থাকার দরকার নেই। (এটি অবশ্যই সার্ভারের ব্যাকআপ অনুলিপিগুলিতে অন্তর্ভুক্ত থাকতে পারে তবে সার্ভারের অন্যান্য ডেটার তুলনায় কীটি ব্যাকআপ করা কম গুরুত্বপূর্ণ, যেহেতু আপনি সর্বদা একটি নতুন গোপন কী তৈরি করতে পারেন এবং এটির সাথে আপনি যেমন সাইন করেছেন তেমন পুরানো।)
ক্যাস্পারড
আমি এই অঞ্চলে বিশেষজ্ঞ নই, তবে হার্ডওয়্যার এনক্রিপ্রিন মডিউলগুলির কী বিদ্যমান নেই যা এমন কী রয়েছে যা তাদের অভ্যন্তরে থাকে এবং কেবল সই করার অনুরোধগুলি প্রবেশ করে এবং স্বাক্ষরগুলি বেরিয়ে আসে? সার্ভারে সোল্ডারিং বা গ্লুয়িংয়ের সমাধান হতে পারে।
মাতেগা

উত্তর:

26

কোনও সার্ভারে প্রশাসনিক (বা প্রায়শই শারীরিক) অ্যাক্সেসযুক্ত কোনও ব্যক্তি ব্যক্তিগত কীটি বের করতে সক্ষম হতে চলেছেন। রফতানি, মেমরি স্নিফিং বা এ জাতীয় অন্য কৌশলগুলির মাধ্যমে হোক।

আপনার প্রশাসকদের আপনার ওয়েব সার্ভারগুলির ব্যক্তিগত কীগুলিতে অ্যাক্সেস রয়েছে। এটিকে সত্য হিসাবে গ্রহণ করুন এবং এটিকে ঘিরে কাজ করুন। যদি আপনার সিসাদমিনগুলি বিশ্বাসযোগ্য না হয় তবে ওয়েব সার্ভারগুলিতে অ্যাক্সেস সহ আপনার আরও ভাল সিসাদমিন বা কমপক্ষে কম সংখ্যক স্যাসডমিনের প্রয়োজন হতে পারে। যদি এটি ম্যানেজমেন্ট সিকিউরিটি প্যারানয়েয়ার বিষয়টি হয় তবে সিসাদমিনকে তাদের বিশ্বাস করার ক্ষমতা সম্পর্কে আরও গভীর সমস্যা হতে পারে।

এটি এমনটি বলার অপেক্ষা রাখে না যে আপনার প্রত্যেককে ব্যক্তিগত কীতে অ্যাক্সেস দেওয়া উচিত। অ্যাক্সেস মঞ্জুর হওয়ার আগে সর্বদা অ্যাক্সেসের প্রয়োজন হওয়া উচিত। এই বিষয়টি মাথায় রেখে, আপনি কী কোনও ওয়েবসাইটের সম্পূর্ণ নিয়ন্ত্রণের সাথে সিসাদমিন ব্যক্তিগত কীটি রফতানি করতে না পারছেন তা নিশ্চিত করার জন্য চূড়ান্ত ব্যবস্থা গ্রহণ করতে চলেছেন, তবে এখনও ওয়েবসাইটটি প্রায় কোনও শরণার্থী পদ্ধতিতে নিজেই পরিচালনা করতে পারবেন? আমরা এখানে বিশ্বাস ফিরে পেয়েছি, এবং আমি মনে করি যে সমস্যাটির মূল সমাধান করা দরকার।

Hyppy
সূত্র
2
"আপনার প্রশাসকদের আপনার ওয়েব সার্ভারের ব্যক্তিগত কীগুলিতে অ্যাক্সেস রয়েছে for এটিকে সত্য হিসাবে গ্রহণ করুন এবং এটিকে ঘিরে কাজ করুন"। "অ্যাডমিন অধিকারযুক্ত লোকজনকে X করা থেকে আমি কীভাবে বাধা দেব?" এর প্রভাবের প্রশ্নগুলি? আমাকে একটি গভীর সমস্যা ইঙ্গিত। হয় অত্যধিক অবিশ্বাস্য, বা প্রশাসকের অধিকার দেওয়ার ক্ষেত্রে খুব শিথিল।
ব্র্যান্ডন
2
আমি জিজ্ঞাসা করেছি কেন সঙ্গে আপডেট। এটি সিসাদমিনদের নিয়ে উদ্বেগ নয়, সেরা অনুশীলনগুলি অনুসরণ করার ইচ্ছা এটি।
ডেভিড থিলেন
11

আপনি কীটি আমদানি করার সময়, আপনার কাছে এটি অ-রফতানযোগ্য হিসাবে চিহ্নিত করার বিকল্প রয়েছে। এটি আপনাকে রফতানি করতে আইআইএস বা শংসাপত্রের এমএমসি ব্যবহার করা থেকে বিরত রাখবে। কমপক্ষে, এটি কিছুটা শক্ত করে তোলে।

তবে, যদি তাদের মেশিনে প্রশাসকের অ্যাকাউন্ট থাকে বা এটিতে দৈহিক অ্যাক্সেস থাকে - তারা এখনও অন্য উপায়ে কীটি পেতে সক্ষম হবে।

প্রদান
সূত্র
1
এটি আসলে এতটা কঠিন নয়। isecpartners.com/tools/application-security/jailbreak.aspx
গ্রেগ জিজ্ঞাসা
0

এখানেই একটি "মধ্যবর্তী সিএ" সহায়তা করতে পারে।

নীচে এই উদাহরণে "রুট সিএ" কোনও এসএসএল সংস্থার মালিকানাধীন এবং আপনি নন not

আপনার কাছে রুট সিএ দ্বারা তৈরি কীগুলির সরাসরি নিয়ন্ত্রণ নেই, সুতরাং রুট সিএ স্বাক্ষরিত কোনও কী আপত্তিজনক হয়ে উঠলে আপনাকে এটিকে প্রত্যাহার করতে আপনাকে তাদের যেতে হবে।

কিন্তু:

Root CA (SSL company)
 |
 +-Intermediate CA (You)
   |
   +-Server Key for site

যদি আপনি মাঝখানে অন্য সিএ স্থাপন করেন এবং আপনার ক্রয় করা এসএসএল শংসাপত্রটি সরাসরি আপনার সার্ভার শংসাপত্রে স্বাক্ষর না করে নিজের সিএ শংসাপত্রটিতে স্বাক্ষর করে থাকে তবে আপনি নীচের সার্ভার শংসাপত্রগুলির নিয়ন্ত্রণ ধরে রাখতে পারেন এবং প্রত্যাবর্তন শংসাপত্রগুলি জারি করতে পারেন বা এর নীচের জিনিসগুলির সাথে আপোস করা থাকলে অন্য কিছু করতে পারেন ।

আপনি ইন্টারমিডিয়েট সিএ প্রাইভেট কীটি নিজের কাছে রাখুন এবং প্রশাসকদের এটি দেখার দরকার নেই।

আপনি এটি করতে পারেন:

Root CA (SSL company)
 |
 +-Intermediate CA (You)
   |
   +-Server Key 1 for site
   +-Server Key 2 for site 
   +-Server Key 3 for site

আপনি আপস করার জন্য প্রস্তুত করতে পারেন এবং সময়ের আগে শংসাপত্র তৈরি করতে পারেন, যাতে কোনও ব্যক্তিগত কী প্রত্যাহার করা হয় এমন পরিস্থিতিতে আপনি দ্রুত স্যুইচ করতে পারেন। প্রশাসনিকগণ 1 বা আপস না হওয়া পর্যন্ত 2 বা 3 এর জন্য কীগুলি পান না আপনি এই স্কিমটি সম্পর্কে আপনার সাইটে একটি নোটিশ দিতে পারেন এবং এটি আপনার প্রশাসকদের সাথে যোগাযোগ করে যে আপনি কোনও আপস করার ক্ষেত্রে প্রস্তুত এবং তাদের মজার ব্যবসায়ের বিষয়ে শেষ আপনার সাইট ধ্বংস করবে না।

LawrenceC
সূত্র
1
এটি কি অবিশ্বস্ত সিএর জন্য ব্যবহারকারীদের জন্য এসএসএল সতর্কতা তৈরি করে না?
ceejayoz
1
আমি অনুমান করি এটি কেবল তখনই কার্যকর হবে যদি আপনি ব্যবহারকারীর ব্রাউজারে সিএ ইনস্টল করতে পারেন যেমন কোনও কর্পোরেট ইন্ট্রানেট সেটিংয়ের মতো। আমি জানতাম আমার ব্রিল্যান্ট স্কিমটিতে কিছু ভুল ছিল। :(
LawrenceC
0

অনেক নিবন্ধ রয়েছে যা সার্ভার ব্যতীত অন্য কোথাও ব্যক্তিগত কীগুলি সংরক্ষণ করার পরামর্শ দেয় তবে সেই ব্যক্তিগত কীগুলি কোড সাইনিং শংসাপত্রগুলির জন্য । কল্পনা করুন যে আপনার অফলাইনে কম্পিউটারে কী রয়েছে যা কেবলমাত্র আপনার অ্যাক্সেস পেয়েছে, কিছু সফ্টওয়্যার লেখা আছে, আপনি অফলাইন সার্ভার থেকে প্রাইভেট কীটি পাবেন, কোডটি সাইন করুন এবং তারপরে আপনাকে কিছুটা স্বাক্ষর করার প্রয়োজন না হওয়া পর্যন্ত আপনাকে আবার প্রাইভেট কী প্রয়োজন হবে না until আবার কোড।

সর্বদা সেরা সমাধানটি সর্বদা ছিল এবং এটি আপনার কী অফলাইনে সংরক্ষণ করে চলেছে। আপনি এটি কীভাবে করবেন তা সম্পূর্ণভাবে আপনার উপর নির্ভর করে (কয়েকটি পদ্ধতি রয়েছে), কেবল কোনও অফিসে নিরাপদে বা কোথাও রক্ষিত রাখার কথা মনে রাখবেন যে কারও পক্ষে পকেট দেওয়া সহজ নয়।

আরও পড়ুন এখানে: https://www.thesslstore.com/blog/heres- কি-happens- যখন আপনার-private-key-gets-compromised/

বিপরীতে, এসএসএল শংসাপত্রগুলি এইচটিটিপিএস যোগাযোগ সক্ষম করার জন্য ওয়েবসাইটগুলির জন্য: ওয়েব সার্ভারের প্রতিটি হ্যান্ডশেকের সময় ব্যক্তিগত কী প্রয়োজন। অতএব, এটি অফলাইনে সংরক্ষণ কাজ করবে না।

CodingYoshi
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.