আমরা এসএসএল শংসাপত্রের জন্য আরএসএ কী বিনিময় ব্যবস্থাটি ব্যবহার করছি। আমি কিভাবে যে পরিবর্তন করতে পারেন DHE_RSAবা ECDHE_RSA?
আরএসএ ব্যবহারের কারণে ক্রোমে আমরা নীচের সতর্কতা পাচ্ছি
ওয়েবসাইটের সাথে আপনার সংযোগ অপ্রচলিত ক্রিপ্টোগ্রাফি সহ এনক্রিপ্ট করা হয়েছে
আমি উইন্ডোজ সার্ভার 2012 আইআইএস 8 ব্যবহার করছি।
উত্তর:
প্রথমে আপনার প্রশ্নের উত্তর নির্দিষ্ট করে দিন;
"আমি কীভাবে এটি DHE_RSA বা ECDHE_RSA এ পরিবর্তন করতে পারি?"
এর সহজ সমাধান হ'ল আইআইএস ক্রিপ্টো ডাউনলোড করুন এবং এটি আপনার জন্য কঠোর পরিশ্রম করতে দিন।
DHE_RSA বা ECDHE_RSA ব্যবহার করার জন্য আপনাকে আইআইএস ক্রিপ্টো উইন্ডোর নীচে বাম দিকের সিফার স্যুট পছন্দগুলি পুনরায় অর্ডার করতে হবে। আমি বর্তমানে নিম্নলিখিত সিফার স্যুটটি আমার সর্বোচ্চ পছন্দ হিসাবে সেট করেছি;
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
আপনি বাকী ক্রমটি সঠিকভাবে সেট করতে এবং কিছু এন্ট্রি অক্ষম করতে চাইবেন। আমি 'সেরা অভ্যাস' বোতামটি ব্যবহার করার জন্য দৃ strongly়ভাবে পরামর্শ দেব কারণ এটি আপনার জন্য এটি করবে। এটি SSL3.0 প্রোটোকল এবং নীচে এবং 3DES এবং AES 128/256 ব্যতীত সমস্ত এনক্রিপশন সাইফার অক্ষম করবে। আপনার সচেতন হওয়া দরকার যে এটি করে আপনি খুব পুরানো ক্লায়েন্টদের সাথে সামঞ্জস্যতার সমস্যা তৈরি করতে পারেন (আইপি 6 এক্সপি এবং নীচে ভাবেন)। বেশিরভাগ গ্রাহক ঘাঁটির সাথে আজকাল এটি কোনও সমস্যা হওয়া উচিত নয়, তবে বিশ্বের কিছু অংশ এখনও পুরানো সফ্টওয়্যার ব্যবহার করে।
আমার উত্তরের দ্বিতীয় অংশটি ক্রোমের সর্বশেষতম সংস্করণ প্রদর্শিত সতর্কতাটি সরিয়ে দেওয়ার আপনার ইচ্ছাটিকে বোঝায়;
ওয়েবসাইটের সাথে আপনার সংযোগ অপ্রচলিত ক্রিপ্টোগ্রাফি সহ এনক্রিপ্ট করা হয়েছে
এটি অর্জন করা কঠিন। এমনকি ECDHE_RSA বা DHE_RSA এ পরিবর্তনের পরেও আপনি সতর্কতাটি দেখতে পাবেন। এটি কারণ যে ক্রোম সিবিসি মোডে এইএসকে অপ্রচলিত হিসাবে বিবেচনা করছে। এটি পরিবর্তনের উপায়টি হ'ল পরিবর্তে GCM মোডে AES ব্যবহার করা যাইহোক, এটি করার জন্য আপনাকে নীচের প্যাচ দিয়ে আপনার সার্ভারটি প্রথম প্যাচ করেছেন তা নিশ্চিত করতে হবে। এই প্যাচটি চারটি নতুন সাইফার স্যুট চালু করেছে, এর মধ্যে দুটি এখানে আমাদের যা প্রয়োজন তা করবে।
আমি আপনাকে লিঙ্ক দেওয়ার আগে এটি একটি স্বাস্থ্য সতর্কতা নিয়ে আসে । এই প্যাচটি নভেম্বর মাসে মাইক্রোসফ্ট দ্বারা টানা হয়েছিল প্রচুর সমস্যার কারণে। এটি এখন ব্যবহার করা নিরাপদ বলে বিবেচিত হবে বা কোন অবস্থার অধীনে তা এখনও জানি না। আমি নিজেকে খুঁজে বের করার চেষ্টা করছি ( এই এসএফ প্রশ্নটি দেখুন )
আপনার নিজের ঝুঁকিতে ব্যবহার করুন!
প্যাচটি KB2992611
একবার ইনস্টল হওয়ার পরে আপনি নীচের সিফার স্যুটটি তালিকার শীর্ষে রাখতে আইআইএস ক্রিপ্টো ব্যবহার করতে পারেন;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
এতে ক্রোম খুশি হবে। এই স্যুটটির একমাত্র নেতিবাচকতা হ'ল আপনি ডিএইচইর পরিবর্তে ইসিডিএইচইএর সাথে সম্পর্কিত উপবৃত্তাকার বক্ররেখা হারাবেন। এটি সুরক্ষা প্রভাবিত করে না, তবে কী এক্সচেঞ্জের সময় সার্ভার এবং ক্লায়েন্টের কার্যকারিতাগুলিকে প্রভাবিত করে। আপনার ট্রেড-অফটি আপনার নির্দিষ্ট ব্যবহারের ক্ষেত্রে উপযুক্ত কিনা তা আপনাকে মূল্যায়ন করতে হবে।
অবশেষে , ECDHE / ইসিডিএসএর সাথে এইএস জিসিএম সংযুক্ত করে এমন একটি সাইফার স্যুট ব্যবহার করে এটি অর্জন করাও সম্ভব eg
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
তবে এটি কেবল তখনই কাজ করবে যদি আপনি কোনও এসএসএল শংসাপত্র পেয়ে থাকেন যা আরএসএর পরিবর্তে আপনার পাবলিক / প্রাইভেট কী তৈরির জন্য ইসিডিএসএ ব্যবহার করে। এগুলি এখনও তুলনামূলকভাবে বিরল (পড়ুন: ব্যয়বহুল), এবং ক্লায়েন্টের সামঞ্জস্যতার সমস্যার কারণ হতে পারে। আমি নিজেই এই বিকল্পটি নিয়ে পরীক্ষা নিরীক্ষা করি নি এবং তাই এটিতে কোনও কর্তৃপক্ষের সাথে কথা বলতে পারি না।
অবশেষে, অবশেষে (সত্যই, শেষ অবধি)। উপরের সবকিছুর পরেও আমি আসলে এটি নিয়ে চিন্তা করব না। আমি অদূর ভবিষ্যতের জন্য আমার আইআইএস বাক্সগুলিতে এইএস সিবিসি ব্যবহার চালিয়ে যাচ্ছি। ক্রোম কেবলমাত্র উল্লিখিত সতর্কবার্তাটি দেখায় যদি ব্যবহারকারী টিএলএস বিবরণ ক্লিক করতে এবং এটি দেখতে পছন্দ করে, অন্যথায় ঠিক ঠিকানা বারের প্রতীকটি দেখার থেকে অন্য কোনও ইঙ্গিত নেই।
আশা করি যে সাহায্য করে, এবং প্রবন্ধের জন্য ক্ষমাপ্রার্থী! ;-)
উইন্ডোতে সিফার স্যুটগুলির ক্রম পরিবর্তন করতে আমি সবচেয়ে সহজ উপায়টি হ'ল ছোট সরঞ্জাম আইআইএস ক্রিপ্টো
তবে আপনি Chrome এ যে বার্তাটি পান তা সম্ভবত এর সাথে সম্পর্কিত নয়।
Your connection to website is encrypted with obsolete cryptographyযখন আপনার শংসাপত্র বা এর পিতামাতার একটি স্বাক্ষরের অ্যালগোরিদম থাকে তখন প্রদর্শিত হয় sha1। প্রথমে এটি পরীক্ষা করে দেখুন এবং সেই শংসাপত্রটি প্রতিস্থাপন করুন