আইওএস 9 এটিএসের সাথে কাজ করতে আইআইএস 7.5 এসএসএল \ টিএলএস কীভাবে কনফিগার করবেন

সমস্যা: আইওএস 9 এখন এটিএস ব্যবহার করে আমাদের মোবাইল অ্যাপ্লিকেশনটি আর আমাদের ওয়েব-পরিষেবাতে সুরক্ষিত সংযোগ স্থাপন করতে পারে না।

পটভূমি: আইওএস 9 অ্যাপ ট্রান্সপোর্ট সুরক্ষা প্রবর্তন করে

সার্ভার সেটআপ: উইন্ডোজ সার্ভার 2008 আর 2 এসপি 1 (ভিএম) আইআইএস 7.5, ডিজিকার্ট থেকে এসএসএল শংসাপত্র। উইন্ডোজ ফায়ারওয়াল বন্ধ।

কী আরএসএ 2048 বিট (ই 65537)

ইস্যুকারী ডিজিকার্ট এসএএএ 2 সিকিউর সার্ভার সিএ

স্বাক্ষর অ্যালগরিদম SHA512withRSA

এগুলি হ'ল অ্যাপ ট্রান্সপোর্ট সুরক্ষা প্রয়োজনীয়তা:

সার্ভারটি অবশ্যই কমপক্ষে পরিবহন স্তর সুরক্ষা (টিএলএস) প্রোটোকল সংস্করণ 1.2 সমর্থন করে support সংযোগ সিফারগুলি সীমাবদ্ধ যারা ফরওয়ার্ড গোপনীয়তা সরবরাহ করে (নীচে সাইফারগুলির তালিকাটি দেখুন) শংসাপত্রগুলি অবশ্যই একটি SHA256 বা আরও ভাল স্বাক্ষর হ্যাশ অ্যালগরিদম ব্যবহার করে স্বাক্ষরিত হতে হবে, হয় 2048 বিট বা বৃহত্তর আরএসএ কী বা 256 বিট বা বৃহত্তর উপবৃত্তাকার-বক্ররেখা দ্বারা (ইসিসি) কী। অবৈধ শংসাপত্রগুলির ফলে একটি হার্ড ব্যর্থতা এবং কোনও সংযোগ নেই। এগুলি হ'ল গৃহীত সাইফারগুলি:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

কি চেষ্টা করা হয়েছে:

1. আমাদের ডোমেনটি কাজ করার অনুমতি দেওয়ার জন্য মোবাইল অ্যাপে ব্যতিক্রম যুক্ত করা হচ্ছে, তবে আমি এই অনিরাপদ পদ্ধতিটি নিয়ে যেতে চাই না, আমি আমাদের এসএসএল ঠিক করতে চাই।
2. আইআইএস ক্রিপ্টোকে 'সেরা অনুশীলন', 'পিসিআই' ব্যবহার এবং কাস্টম সেটআপগুলি ব্যবহার করতে ব্যবহৃত হয়েছিল । এমনকি ক্রিপ্টো স্যুটটি কেবল উপরের তালিকায় পরিবর্তন করে পুনরায় অর্ডার করার চেষ্টা করেছিল। প্রতিটি চেষ্টা করার পরে সার্ভারটি পুনরায় বুট করা হয় এবং এসএসএল ল্যাবগুলি চালানো হয় (ক্যাশে সাফ করার পরে)। আমি একটি এফ রেটিং থেকে একটি এ এবং এমনকি এ- তে যেতে সফল হয়েছিলাম তবে এর ফলে কেবল আইওএস 8 এবং 9 নিরাপদ সংযোগ স্থাপন করতে অক্ষম হয়েছিল। (NSURLErrorDomain কোড = -1200 এবং _ কেসিএফএস স্ট্রিমেরর কোড কোড = -9806)
3. ভিএম পুনরুদ্ধার করে একটি পাওয়ারশেল স্ক্রিপ্ট চেষ্টা করে এসএসএল পারফেক্ট ফরওয়ার্ড সিক্রেসি এবং টিএলএস 1.2 এর জন্য আপনার আইআইএস সেটআপ করেছিলাম এমনকি আমি দ্বিতীয় চেষ্টাও করেছি যেখানে আমি পাওয়ার স্ক্রিপ্ট থেকে সাইফারগুলি সম্পাদনা করে যা প্রয়োজন তার একটি ন্যূনতম তালিকায়।

ফলাফল: সর্বদা একই, A বা A- এর রেটিং। iOS8 এবং iOS9 সুরক্ষিত সংযোগের জন্য আলোচনা করতে পারে না। হ্যান্ডশেক সিমুলেশনটির ফলাফল সাফারি এবং আইওএস পণ্যগুলির জন্য "প্রোটোকল বা সিফার স্যুট মেলে না" in

আপডেট আপডেট অ্যাপল সমর্থন সঙ্গে কাজ করার পরে, আমরা কিছু প্যাকেট ট্রেস ক্যাপচার করেছি:

$ tcpdump -n -r trace.pcap
reading from file trace.pcap, link-type EN10MB (Ethernet)
client > server [S], seq 1750839998, win 65535, length 0
server > client [S.], seq 2461151276, ack 1750839999, win 8192, length 0
client > server [.], ack 1, win 4104, length 0
client > server [P.], seq 1:175, ack 1, win 4104, length 174
server > client [R.], seq 1, ack 175, win 0, length 0

প্রথম তিনটি প্যাকেট হ'ল ক্লাসিক এসওয়াইএন - এসওয়াইএন-এসিকি - এসিপি থ্রি ওয়ে হ্যান্ডশেক যা টিসিপি সংযোগ স্থাপন করে। চতুর্থ প্যাকেটটি হ'ল আইওএস আপনার সার্ভারকে একটি টিএলএস ক্লায়েন্ট হ্যালো বার্তা প্রেরণ করছে, T টিসিপি সংযোগের উপর টিএলএস সংযোগ স্থাপনের প্রথম পদক্ষেপ। আমি এই বার্তাটি আলাদা করে রেখেছি এবং এটি যথেষ্ট যুক্তিসঙ্গত দেখাচ্ছে। পঞ্চম প্যাকেটে সার্ভারটি সহজেই সংযোগটি ড্রপ করে (কোনও আরএসটি পাঠিয়ে)।

আইআইএস .5.৫ কেন একটি আরএসটি করবে তা কি কেউ জানেন?

প্রশ্নটি পুরানো, তবে এটি অনুসন্ধানের সময় পাওয়া যাবে। একই সমস্যার সমাধান খুঁজতে আমি কিছু সময় ব্যয় করেছি। এইভাবে আমি আমার ফলাফল অন্যদের সাথে ভাগ করে নেওয়ার জন্য উত্তরটি লেখার সিদ্ধান্ত নিয়েছি।

সংক্ষিপ্ত উত্তর: সাইফার স্যুটগুলির ক্রম নির্দিষ্ট করতে আপনার আইআইএস ক্রিপ্টো ব্যবহার করা উচিত নয়। পূর্বে সেট অর্ডার অপসারণ করতে আপনাকে "ডিফল্ট" বোতামে ক্লিক করার পরামর্শ দিন এবং তারপরে স্থানীয় নীতির মাধ্যমে সিফার স্যুইটগুলি কনফিগার করতে গ্রুপ নীতি ("কম্পিউটার কনফিগারেশন" \ "প্রশাসনিক টেম্পলেটগুলি" Network "নেটওয়ার্ক" SSL "এসএসএল কনফিগারেশন সেটিংস") ব্যবহার করুন।

"প্রোটোকল বা সাইফার স্যুট মেলে না" ত্রুটির কারণ নীচ থেকে একটি হতে পারে :

• আপনার সার্ভারটি কিছু "খারাপ সিফার স্যুট" সমর্থন করে
• আপনার সার্ভারটি কিছু সাইফার স্যুট সমর্থন করে না, যা টিএলএস স্পেসিফিকেশনের সাথে সামঞ্জস্য করা উচিত।
• আপনার সার্ভারে HTTP / 2 সমর্থন করে এবং এটি অন্যান্য প্রোটোকলের উপরে কালো তালিকা থেকে কিছু প্রোটোকল রয়েছে , যা তালিকায় নেই । সমস্যাটি সমাধান করার জন্য সাইফার স্যুটগুলির ক্রম পরিবর্তন করার পক্ষে এটি যথেষ্ট।

সঠিক সিস্টেমে বিভিন্ন সিস্টেমে আলাদা আলাদা তালিকা থাকতে পারে। আপনি কিছু ব্ল্যাকলিস্ট ইন্টারনেটে খুঁজে পেতে পারেন। উদাহরণস্বরূপ, আরএফসি 7540 এর পরিশিষ্ট এ (হাইপারটেক্সট ট্রান্সফার প্রোটোকল সংস্করণ 2 (এইচটিটিপি / 2)) এর একটি তালিকা রয়েছে। সাইফার সংকলনের হয় TLS_RSA_WITH_AES_128_CBC_SHATLS এর 1.2 (দেখুন জন্য এখানে ) এবং TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256এবং TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS এর 1.3 জন্য (দেখুন এখানে )। আপনি কেবল TLS_ECDHE_ECDSA_*উপবৃত্তাকার বক্ররেখা ব্যবহার করে শংসাপত্র ব্যবহার করেন তা হ'ল গুরুত্বপূর্ণ। অন্যান্য খুব ভাল সিফার স্যুট TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256এখনও মাইক্রোসফ্ট দ্বারা প্রয়োগ করা হয়নি। অতিরিক্ত হিসাবে আপনি কমপক্ষে TLS_ECDHE_RSA_WITH_AES_256_CBC_SHAপুরানো সিস্টেমগুলি থেকে সংযোগ সমর্থন করতে এবং TLS_RSA_WITH_AES_128_CBC_SHAখুব পুরানো সিস্টেমগুলিকে সমর্থন করতে (Android 2.3.7, জাভা 6u45, ওপেনএসএসএল 0.9.8y) এবং TLS_RSA_WITH_3DES_EDE_CBC_SHAকেবলমাত্র আইই 8 / এক্সপি সমর্থন প্রয়োজন হলে বিবেচনা করতে পারেন। সুতরাং আপনি উদাহরণস্বরূপ আজ ব্যবহার করতে পারেন

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

অক্ষম টিএলএস 1.0, টিএলএস 1.1 সহ আরও ভাল সুরক্ষার ব্যবস্থা রাখতে

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

আপনার যদি ভাল সুরক্ষা এবং সেরা পারফরম্যান্সের দরকার হয়।

আপনি নিজের সমস্যার সমাধানের জন্য উদাহরণস্বরূপ সাইফার স্যুটের নিম্নোক্ত সংক্ষিপ্ত সেটটি সেট করতে পারেন:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

নীচে আমি উইন্ডোজ ১০ এ কনফিগারেশনের একটি উদাহরণ অন্তর্ভুক্ত করেছি I আরএসএ 2048 কী সহ কোয়ালিজ এসএসএল ল্যাবগুলি থেকে A + রেটিং এবং লেটস এনক্রিপ্টের বিনামূল্যে এসএসএল শংসাপত্রের জন্য আমি আইআইএস 10 টি কনফিগার করেছি ।

আমি DES 56/56, RC2 128/128, RC2 40/128, RC2 56/128, RC4 128/128, RC4 40/128, RC4 56/128, RC4 64/128, ট্রিপল DES 168/168, NULL, এমডি 5, মাল্টি-প্রোটোকল ইউনিফাইড হ্যালো, পিসিটি 1.0, এসএসএল 2.0, এসএসএল 3.0 এবং টিএলএস 1.0 / 1.1 ম্যানুয়ালি রেজিস্ট্রিতে (দেখুন KB245030 )। আমি টিএলএস 1.0 এবং টিএলএস 1.1 প্রোটোকল কেবলমাত্র অক্ষম করেছি কারণ টিআইএসএসএফএলএলএবসিএসএসসিভি (ডাউনগ্র্যাড আক্রমণ) এখন পর্যন্ত আইআইএসে প্রতিরোধ করা যায় না, যা www.ssllabs.com এর A + রেটিং পাওয়া অসম্ভব করে তোলে । আমি এটিকে একটি অসুবিধে হিসাবে দেখছি, তবে টিএলএস ১.২ বর্তমানে খুব প্রশস্তভাবে সমর্থিত। উপায় দ্বারা আপনি ব্যবহার করতে পারেন DisabledByDefault: 1, তবে Enabled: 1টিএলএস 1.0 এবং টিএলএস 1.1 এর জন্য। আপনি যদি কম্পিউটারে এসকিউএল সার্ভার ২০০৮/২০১২ চালান তবে এটি সহায়ক হতে পারে। ওয়েব সার্ভার টিএলএস 1.0 এবং টিএলএস 1.1 ব্যবহার করবে না, তবে এসকিউএল সার্ভার ব্যবহার করবে।

সবচেয়ে গুরুত্বপূর্ণ পদক্ষেপ, যা আমার অনেক সময় পায় এবং যা আপনার প্রধান সমস্যাটি ছিল সাইফার স্যুটগুলির কনফিগারেশন। আমি এটি ব্যবহার করে তৈরি করেছি gpedit.msc। আমি "কম্পিউটার কনফিগারেশন" \ "প্রশাসনিক টেম্পলেটগুলি" Network "নেটওয়ার্ক" SSL "এসএসএল কনফিগারেশন সেটিংস" এবং নীচে "এসএসএল সাইফার স্যুট অর্ডার" মানটি কনফিগার করেছি

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

উপরের অর্ডারটি সর্বোত্তম হতে পারে না এবং আমি নিশ্চিত নই, উপরের সমস্ত প্রোটোকল আইআইএস 7.5 এ সমর্থিত (আমি উইন্ডোজ 10 থেকে আইআইএস 10.0 ব্যবহার করেছি)। তবুও আমি নিশ্চিত যে আপনার সমস্যাটি সাইফার স্যুটটির তালিকার সাথে সম্পর্কিত, কারণ আমার সাইফার স্যুটটির তালিকাগুলির সাথে আমার পরীক্ষাগুলির সময় বর্ণনা করা ঠিক একই সমস্যা আমার ছিল।

কোনওভাবেই, গ্রুপ পলিটিতে উপরের সেটিংসটি কনফিগার করার পরে এবং কম্পিউটারটি রিবুট করার পরে ( gpupdate /force /target:computerআমার পরীক্ষাগুলিতে পর্যাপ্ত ছিল না) আমি এ + রেটিং এবং "হ্যান্ডশেক সিমুলেশন" অংশের পরীক্ষার ফলাফলের নিম্নলিখিত তালিকা পেয়েছি:

কেউ দেখতে পাচ্ছেন যে নিম্নলিখিত ক্লায়েন্টদের জন্য আইওএস সফলভাবে সমর্থিত:

Safari 6 / iOS 6.0.1
Safari 7 / iOS 7.1
Safari 8 / iOS 8.4
Safari 9 / iOS 9

TLS 1.2 সমর্থন করে না এমন ক্লায়েন্টগুলি আমার কাছে এখন এত গুরুত্বপূর্ণ নয় বলে মনে হয় এবং আমি মনে করি যে উপরের কনফিগারেশনটি উত্তরাধিকারী ক্লায়েন্টদের সমর্থন এবং নিরাপদ প্রোটোকলের ব্যবহারের মধ্যে একটি ভাল সমঝোতা।

আপনার আইআইএস ক্রিপ্টো চিত্রটি যদি সাম্প্রতিক হয় তবে সেটিংগুলি সে হিসাবে রাখুন তবে এসএইচএ, ডিফি-হেলম্যান এবং পিকেসিএস সক্ষম করে। এটি আপনাকে একটি রেটিং দেবে তবে আইওএস 8 এবং এর চেয়ে কম সংযোগের অনুমতি দেবে।

এ নিয়ে কয়েকদিন লড়াই করেছি। বিশেষত আমি একটি আইওএস অ্যাপ্লিকেশন থেকে ওআউথ 2 বহনকারী টোকেন প্রমাণীকরণের সাথে একটি এএসপি.নেট ওয়েব এপিআই 2 বিশিষ্ট পরিষেবার সাথে সংযোগ স্থাপনের জন্য জ্যামারিন ফর্মগুলি পিসিএল ব্যবহার করে একটি আইওএস অ্যাপ্লিকেশন থেকে সংযোগ করছি।

শেষ পর্যন্ত আমার জন্য যা কাজ করেছে তা হ'ল আইআইএস ক্রিপ্টোর সেরা অনুশীলনগুলি ব্যবহার করা। তারপরে রেজিস্ট্রি কীটি এটি সম্পাদন করুন যা এটি সিফার স্যুট ক্রমের জন্য নির্ধারণ করেছে:

KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002\Function

নিম্নলিখিত মান সহ আমার সাফল্য ছিল:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_RC4_128_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_RC4_128_MD5, TLS_RSA_WITH_DES_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

চার্লস প্রক্সি ব্যবহার করে সর্বশেষটি খুঁজে পাওয়া গেছে, যা স্বয়ংক্রিয়ভাবে টিএলএস_ইসিডিএইচএইচডিআরএসএ_ডাব্লুআইটিএইচ_এইএস_২৮_জিসিএম_এসএইচ 256 আলোচনা করেছে। যে বিষয়টি আমাকে এই দিকে পরিচালিত করেছিল তা হ'ল সংযোগগুলি চার্লস প্রক্সি অন (সিমুলেটর শংসাপত্র ইনস্টল করে) এর সাথে সফল হয়েছিল, তবে অন্যথায় ব্যর্থ হয়েছিল। আলোচনার জন্য ব্যবহৃত স্যুট যুক্ত করা কৌশলটি করেছে। এটি (?) প্রদর্শিত হচ্ছে যে প্রক্সিটি আমার সার্ভারের দ্বারা সমর্থিত এমন কোনও কিছু দিয়ে আমার বিশ্রাম পরিষেবাটির সাথে পুনরায় আলোচনা করছিল, তবে আইওএস ক্লায়েন্টের নয় not

নোট করুন যে অনেকগুলি সিফার স্যুট বিভিন্ন আইওএস / ওএসএক্স ডিভাইসের জন্য স্ল্যাবলেবাইসকে পছন্দের স্যুটগুলির স্পেসিফিকেশন থেকে প্রাপ্ত করা হয়েছিল। উপরের মানটি একটি রেটিং সহ এসএসএল্যাব অনুসারে এক্সপি-তে আইই 6 বাদে সবকিছু দিয়ে হ্যান্ডশেক করা উচিত ।