এই এসএসএল শংসাপত্রের চেইনটি কীভাবে ভেঙে গেছে এবং কীভাবে এটি ঠিক করবেন?


13

ডোমেন উদাহরণ.কমের এসএসএল সার্টের জন্য, কিছু পরীক্ষা আমাকে বলে যে চেইনটি অসম্পূর্ণ এবং যেহেতু ফায়ারফক্স তার নিজস্ব শংসাপত্রের দোকান রাখে, এটি মজিলায় ব্যর্থ হতে পারে ( 1 , 2 , 3 )। ফায়ারফক্স ৩ 36-এর মতো অন্যেরাও আমাকে বলে যে এটি ঠিক আছে , যা আমাকে জানিয়েছে যে সার্টের চেইনটি ভাল।

আপডেট: আমি উইন্ডোজ এক্সপি এবং ম্যাকোস এক্স স্নো লিওপার্ড উভয়ের জন্য অপেরা, সাফারি, ক্রোম এবং আইইতে পরীক্ষা করেছি, তারা সবাই ঠিকঠাক কাজ করে। এটি উভয় OS এ কেবল ফায়ারফক্স <36 এ ব্যর্থ। আমার লিনাক্সে পরীক্ষার অ্যাক্সেস নেই, তবে এই ওয়েবসাইটটির জন্য এটি দর্শকদের 1% এরও কম, এবং বেশিরভাগই সম্ভবত বট। সুতরাং, এটি আসল প্রশ্নের উত্তর দেয় "এই সেটআপটি মোজিলা ফায়ারফক্সে সতর্কতা আনবে কি না" এবং "এই এসএসএল শংসাপত্রের শৃঙ্খলাটি কি ভেঙে গেছে?"।

অতএব, প্রশ্নটি হল কীভাবে আমি সন্ধান করব যে আমার কোন শংসাপত্রগুলি এসএসএল.সি.এ ফাইলের মধ্যে স্থাপন করা দরকার যাতে তারা ফায়ারফক্স <36 কে দম বন্ধ করে রাখতে আপাচি দ্বারা পরিবেশন করা যায়?

পিএস: পার্শ্ব নোট হিসাবে, ফায়ারফক্স ৩ 36 আমি সার্টটি পরীক্ষা করতে ব্যবহার করেছিলাম এটি একটি নতুন ইনস্টল। এটি অভিযোগ করার কোনও সুযোগ নেই কারণ এটি একই চেইন ব্যবহার করে এমন কোনও সাইটে পূর্ববর্তী দর্শনের সময় একটি মধ্যবর্তী সার্টিটি ডাউনলোড করেছিল ।


1
অগত্যা নয় - যে কোনও ক্ষেত্রে যদি আপনি নিজের প্রশ্নের উত্তর দিতে সক্ষম হন তবে আপনি এটি করতে উত্সাহিত করেছেন :)
BE77Y

হ্যাঁ, আমি এটির উত্তর দিয়েছি তবে এটি কীভাবে ভেঙে গেছে তার পরিবর্তে পুনরায় জিজ্ঞাসা করা আরও কার্যকর হবে। এটা কি ঠিক আছে?
গাইয়া

1
একেবারে। এটি এখানে উত্তরগুলিকেও প্রাসঙ্গিক রাখে (তারা পোস্ট করার সময় থেকে তারা সঠিক ছিল, তাই না?)
কানাডিয়ান

@ গাইয়া: আহ, ঠিক আছে - আমি এখন আপনাকে কী বোঝাতে চাইছি তা দেখছি। এটিতে সর্বোত্তম অনুশীলন হিসাবে বিবেচিত হবে এর চেয়ে আমি 100% না, তবে আমার প্রবৃত্তিটি আপনার প্রশ্নের অন্তর্ভুক্ত করার জন্য "এবং এটি কীভাবে সমাধান করা উচিত?" আপনার ক্ষেত্রে, স্টিফেন আলরিচের প্রতিক্রিয়া অনুসারে, "কমোডো আরএসএ শংসাপত্র কর্তৃপক্ষ" শংসাপত্রটি চেইন থেকে অনুপস্থিত - আপনি কোনও সম্ভাব্য ক্লায়েন্টের ত্রুটিগুলি এড়াতে পারবেন তবে এটি আপনার শৃঙ্খলে অন্তর্ভুক্ত করে। এটি কেবল সত্যই খারাপ অভ্যাস হিসাবে বিবেচিত হয় এটি হ্যান্ডশেকটিতে সম্ভাব্য অপ্রয়োজনীয় ওভারহেড যুক্ত করে - অন্যথায় এটির কোনও ক্ষতিকারক প্রভাব নেই।
BE77Y

উপরের দিকের সাথে এটি আরও লক্ষণীয় যে সর্বাধিক যদি সমস্ত আধুনিক ক্লায়েন্টগুলি বর্তমানে এটির সাথে সেটআপ করা ঠিক না হয় তবে (এসএসএল্যাব পরীক্ষা অনুযায়ী)
BE77Y

উত্তর:


8

চেইন পর্যাপ্ত হলে ক্লায়েন্টের সিএ স্টোরের উপর নির্ভর করে। দেখে মনে হচ্ছে ফায়ারফক্স এবং গুগল ক্রোম 2014 এর শেষ দিকে "কমোডো আরএসএ শংসাপত্র কর্তৃপক্ষ" এর শংসাপত্র অন্তর্ভুক্ত করেছে Internet ইন্টারনেট এক্সপ্লোরারের জন্য এটি সম্ভবত অন্তর্নিহিত ওএসের উপর নির্ভর করে। সিএ এখনও ব্রাউজারগুলি, যেমন ক্রলার্স, মোবাইল অ্যাপ্লিকেশন ইত্যাদির দ্বারা ব্যবহৃত ট্রাস্ট স্টোরগুলিতে অন্তর্ভুক্ত নাও হতে পারে

কোনও ক্ষেত্রে শৃঙ্খলা পুরোপুরি সঠিক নয়, যেমনটি এসএসএলএবস রিপোর্ট থেকে দেখা যাবে :

  • একটি বিশ্বাসের পাথের প্রয়োজন যে নতুন সিএ ব্রাউজারের দ্বারা বিশ্বাসযোগ্য। এই ক্ষেত্রে আপনি এখনও নতুন সিএ শিপিয়েছেন যা ভুল, কারণ বিশ্বস্ত সিএগুলি অবশ্যই অন্তর্নির্মিত হওয়া উচিত এবং চেইনে অন্তর্ভুক্ত নয়।
  • অন্য বিশ্বাসের পথটি অসম্পূর্ণ, এর জন্য এটি অতিরিক্ত ডাউনলোডের প্রয়োজন। গুগল ক্রোমের মতো কিছু ব্রাউজারগুলি এই ডাউনলোডটি করেন, অন্যরা ব্রাউজার এবং অ ব্রাউজারগুলি শিপড চেইনের ভিতরে সমস্ত প্রয়োজনীয় শংসাপত্র থাকার আশা করে। সুতরাং বেশিরভাগ ব্রাউজার এবং অ্যাপ্লিকেশনগুলিতে নতুন সিএ বিল্ট-ইন নেই এই সাইটের সাথে ব্যর্থ হবে।

আমি এই ধারণাটির আওতায় আছি যে ক্রোম এবং আইই উভয় উইন্ডোজ শংসাপত্রের দোকান ব্যবহার করে use আপনি কি নিশ্চিত যে ক্রোমের নিজস্ব পরিপূরক স্টোর রয়েছে?
গাইয়া

এসএসএল্যাবস "চেইন ইস্যুগুলি = কোনওটি নয়" বলে উল্লেখ করেছে, তবে আমি নীচে বিস্তারিত চেইন বিশ্লেষণ দেখতে পাচ্ছি।
গাইয়া

1
FWIW, ওএস এক্স এর অধীনে ক্রোম প্রকৃতপক্ষে ওএস শংসাপত্রের স্টোর, @ স্টেফেনআলরিচ ব্যবহার করে U
BE14Y

1
@ গাইয়া: মোবাইল ক্লায়েন্টদের ভুলে যাবেন না, তাদের নিজস্ব শংসাপত্রের স্টোর রয়েছে যা বিভিন্ন অ্যান্ড্রয়েড সংস্করণের মধ্যেও পৃথক হতে পারে।
স্টিফেন অলরিচ

1
@ গাইয়া: এসএসএলএলগুলি দেখানো দ্বিতীয় বিশ্বস্ত পথটি ধরুন এবং কেবল অনুপস্থিত চেইন শংসাপত্র যুক্ত করুন। এই চেইনটি তখন নতুন সিএ থাকা ব্রাউজার এবং এখনও এই সিএ নেই এমন দুটি ব্রাউজারই যাচাই করতে পারে।
স্টিফেন অলারিখ

8

আমি কমোডোর সাথে যোগাযোগ করেছি এবং তাদের কাছ থেকে একটি বান্ডেল সিআরটি ফাইল ডাউনলোড করেছি। এই সার্ভারের সেটআপ অনুসারে আমি এর নাম পরিবর্তন করে ssl.ca রেখেছি এবং এখন সার্টিটি সমস্ত পরীক্ষায় পাস করে। Chain issues = Contains anchorনোটিশ একটা সমস্যা হয় না (নিচে দেখুন)।

এসএসএল ল্যাবগুলি, ব্যাপকভাবে সর্বাধিক সম্পূর্ণ পরীক্ষা হিসাবে বিবেচিত, এখন প্রদর্শিত হয় Chain issues = Contains anchor, যেখানে এটি প্রদর্শিত হওয়ার আগে Chain issues = None(অন্যরা শৃঙ্খলে সমস্যা দেখিয়েছিল)। এটি সত্যই একটি নন-ইস্যু ( 1 , 2 ), অতিরিক্ত 1 কেবি বাদ দিয়ে সার্ভার ক্লায়েন্টকে প্রেরণ করে।

আমার উপসংহার

  1. এসএসএল ল্যাবগুলি পরীক্ষা যেখানে তা বলেছে তা উপেক্ষা করুন Chain issues = Contains anchorবা বান্ডিল ফাইল থেকে মূল শংসাপত্রটি সরান (নীচে এই মন্তব্যটি দেখুন)।

  2. এসএসএল ল্যাবস যখন বলছেন তখন আপনার চেইনটি সত্যই ঠিক আছে কিনা তা নিশ্চিত করতে সর্বদা অন্য তিনটি পরীক্ষামূলক সাইটের ( 1 , 2 , 3 ) এর মধ্যে কমপক্ষে একটিতে মাধ্যমিক পরীক্ষা চালান ।Chain issues = None


2
প্রকৃত "অ্যাঙ্কর" / "রুট" শংসাপত্রটি অন্তর্ভুক্ত করার কোনও সত্যিকার অর্থে নেই। তবে আপনি খুব অন্তর্বর্তী সার্টিফিকেট চান না। আমি অনুমান করি আপনার কাছে প্রাথমিকভাবে অন্তর্বর্তী সার্টিফিকেট নেই, যা সমস্যার সৃষ্টি করেছে।
হাকান লিন্ডকভিস্ট

@ হাকানলিন্ডকভিস্ট তাই আমার কীভাবে শংসাপত্রগুলি ডিক্রিপ্ট করা উচিত, কোনটি মূল শংসাপত্রটি তা খুঁজে বের করে এটি শৃঙ্খলা থেকে অপসারণ করা উচিত?
গায়া

1
আমি এটি করার পরামর্শ দিচ্ছি যদিও এটি অন্তর্বর্তী শংসাপত্রগুলি হারিয়ে যাওয়ার মতো গুরুতর সমস্যা নয় (এটি কিছুটা অপ্রয়োজনীয়)। কোয়ালি এর এসএসএল টেস্ট নির্দেশ করে যে এটি 02faf3e291435468607857694df5e45b68851868অপ্রয়োজনীয়।
হাকান লিন্ডকভিস্ট

@ হাকানলিন্ডকভিস্টকে openssl x509 -fingerprint -in ssl.caআমি ব্যবহার করে পেরেক দিয়েছি যে আঙুলের ছাপযুক্ত ফাইলটির 02faf3e291435468607857694df5e45b68851868প্রথম অংশটিই ছিল পিইএম। আমি এটি সরিয়ে দিয়েছি, এবং এখন আমি i.imgur.com/1iG2UCz.png এবং i.imgur.com/m8gYbdG.png ( ওসিএসপি এরর: ওসিএসপি স্থিতির সাথে অনুরোধ ব্যর্থ হয়েছে: 6 [ ocsp.comodoca.com] )
গাইয়া

3
"অন্তর্ভুক্ত অ্যাঙ্কর" সম্পর্কিত সতর্কতাটি বৈধ - সুরক্ষা.এসএ সম্পর্কিত এই উত্তরটি পড়ার পক্ষে মূল্যবান; সংক্ষেপে এটি পাঠাতে কোনও সমস্যা নেই: security.stackexchange.com/a/24566/7043
ক্রিস জে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.