একটি অবিশ্বস্ত সিএ বিশ্বাস - সিস্টেম কীভাবে এটি নির্ভর করে আমি তা সীমাবদ্ধ রাখতে পারি?

(স্ট্যাকওভারফ্লো এর পরিবর্তে সার্ভারফল্টে পোস্ট করা হয়েছে কারণ আমি মনে করি এটি প্রোগ্রামিং কোডের চেয়ে ওএস কনফিগারেশনের চেয়ে বেশি উদ্বেগের বিষয়)।

আমি বর্তমানে এমন একটি সিস্টেম বজায় রাখার জন্য দায়বদ্ধ যা একটি তৃতীয় পক্ষের ওয়েব সার্ভিসের সাথে সংযোগ স্থাপন করে। এই ওয়েব সার্ভিসটির জন্য ক্লায়েন্ট প্রমাণীকরণ শংসাপত্রের প্রয়োজন, যা যথেষ্ট ন্যায্য, তবে ওয়েব-সার্ভিস নিজেই স্ব-স্বাক্ষরিত শংসাপত্রের দ্বারা স্ব-নির্মিত শংসাপত্র কর্তৃপক্ষের শংসাপত্র দ্বারা সুরক্ষিত - একই রুট যা ক্লায়েন্ট প্রমাণীকরণ শংসাপত্র তৈরি করে।

জ্ঞাত-বিশ্বস্ত তালিকায় কেবলমাত্র বর্তমান পরিষেবাদি শংসাপত্র যুক্ত করা এবং স্ব-নির্মিত কর্তৃপক্ষের শংসাপত্রকে উপেক্ষা করার পক্ষে এটি যথেষ্ট হবে, দুর্ভাগ্যক্রমে পরিষেবা শংসাপত্র নিয়মিত পরিবর্তিত হয় তাই যখন অ্যাপ্লিকেশনটি ভেঙে না যায় তা নিশ্চিত করার জন্য কর্তৃপক্ষের শংসাপত্রকে বিশ্বাস করতে হবে পরিষেবা শংসাপত্র পুনর্নবীকরণ করা হয়।

তবে আমি (ব্যক্তিগতভাবে) ওয়েব সার্ভিস পরিচালিত সংস্থার সাথে আমার অভিজ্ঞতার ভিত্তিতে সিএ সার্টের উপর বিশ্বাস করি না - এটি ওয়েবে ফাঁস হয়ে গেলে আমাকে অবাক করে না - এবং উদ্বেগজনকভাবে সিএ সার্টটিতে কী-ব্যবহারের কোনও বিধিনিষেধ নেই placed এটি (যদিও বহিরাগত এমআইটিএম আক্রমণগুলি একটি সম্ভাবনা, যদিও দূরবর্তী, আমি কোড-স্বাক্ষরের জন্য ব্যবহৃত ফাঁস শংসাপত্র সম্পর্কে আরও বেশি উদ্বিগ্ন) for

আমার কম্পিউটারকে (বর্তমানে একটি সার্ভার বক্স, তবে ভবিষ্যতে সাধারণ ডেস্কটপ ক্লায়েন্ট বাক্সে) কোনও সিএ-তে বিশ্বাস রাখতে বলা সম্ভব তবে কেবল কী-ব্যবহারের একটি নির্দিষ্ট সেট এবং সম্ভাব্য সাবজেক্ট-নামগুলির একটি ছোট সেট (ডোমেন-নাম) )?

সার্ভারটি বর্তমানে উইন্ডোজ সার্ভার 2012 আর 2, তবে এটি একটি লিনাক্স বাক্সে চলতে পারে - যদিও ডেস্কটপ মেশিনগুলি সমস্ত উইন্ডোজ বাক্স।

ssl-certificate certificate-authority x509

— দাই
সূত্র

কমপক্ষে লিনাক্সে, অনেক অ্যাপ্লিকেশনগুলির কাছে পিয়ার সিএ শংসাপত্রের অবস্থান নির্দিষ্ট করার বিকল্প রয়েছে, সুতরাং আপনি এই সিএর ব্যাপ্তিটি কেবল অ্যাপ্লিকেশন ব্যবহার করেই সীমাবদ্ধ করতে পারেন। @ ক্রাইপ্টোগুয়ের উত্তর লিনাক্সেও কাজ করবে, এতে উইন্ডোজ নির্দিষ্ট কিছু নেই।

— এথেল্ডিল

@ এথেল্ডিল: এটি বাস্তবায়ন-সুনির্দিষ্ট - যেমন উইন্ডোজ এক্স এন.এস.এল.এস.এন.এস বা জিএনটিএলএস-এর চেয়ে অনেক বেশি সময়ের জন্য নাম সীমাবদ্ধতার পক্ষে সমর্থন করেছে।

— মাধ্যাকর্ষণ

আপনার সিস্টেমটি এই তৃতীয় পক্ষের পরিষেবার সাথে সংযোগ স্থাপন করে; করতে ক্লায়েন্ট কোড আপনার সিস্টেমে সেই পরিষেবার সিএ বিশ্বাস করতে, যেমন একটি উপায় যে এটি সম্পন্ন করা হয় মধ্যে কনফিগার করা যে ক্লায়েন্ট কোড শুধু আপনার সমগ্র সিস্টেমের জন্য?

— কাস্তাগলিয়া

@ কাস্টাগলিয়া আমি নিজের শংসাপত্র যাচাইকরণ কোডটি লিখতে পারি যা হোস্ট সিস্টেমের থেকে স্বতন্ত্রভাবে কাজ করে, তবে ক্লায়েন্ট সফটওয়্যারের অন্যান্য টুকরো রয়েছে যেগুলি সিস্টেমওয়াইড সার্টিফিকেট পরিষেবাদি ব্যবহার করে তার উপর আমার নিয়ন্ত্রণ নেই।

— দাই

হ্যা এটা সম্ভব. উইন্ডোজের ক্ষেত্রে ক্রস-শংসাপত্র বা যোগ্যতর অধস্তন নামক একটি বৈশিষ্ট্য রয়েছে।

ধারণাটি হ'ল আপনি আপনার পরিবেশে তৃতীয় পক্ষের সিএ শংসাপত্র জারি করতে স্বাক্ষর করেন। ফলস্বরূপ দূরবর্তী এসএসএল শংসাপত্রটি আপনার নিজস্ব রুট সিএ শংসাপত্রে বেঁধে রাখা হয়েছে। সম্ভাব্য দুর্বৃত্ত শংসাপত্রগুলি থেকে নিজেকে রক্ষা করার জন্য, আপনি একটি Name Constraintsশংসাপত্রের এক্সটেনশন প্রয়োগ করেন যেখানে আপনি গ্রহণযোগ্য নামের একটি তালিকা নির্দিষ্ট করেন। যদি তৃতীয় পক্ষের সিএ অন্য কোনও নামের জন্য শংসাপত্র জারি করে (নাম সীমাবদ্ধতার এক্সটেনশনে স্পষ্টভাবে নির্দিষ্ট করা হয়নি), এটি স্বয়ংক্রিয়ভাবে আপনার ক্রিপ্টোএপিআই সরবরাহকারী দ্বারা প্রত্যাখ্যান করা হবে।

নামের সীমাবদ্ধতা ছাড়াও, Application Policiesক্রস-শংসাপত্রের শংসাপত্রের এক্সটেনশানটি সংজ্ঞায়িত করে আপনি বর্ধিত কী ব্যবহারের সীমাবদ্ধতা বর্ণনা করতে পারেন । সুতরাং, আপনার বিশ্বাস সরবরাহকারী কেবলমাত্র Application Policiesএক্সটেনশনে নির্দিষ্ট করা ব্যবহারগুলি সাফল্যের সাথে বৈধতা দেবেন ।

আরও তথ্য: পরিকল্পনা এবং বাস্তবায়ন ক্রস-শংসাপত্র এবং উইন্ডোজ সার্ভার 2003 ব্যবহার করে যোগ্য অধস্তন

PS যদিও, নিবন্ধটি উইন্ডোজ সার্ভার 2003 এর বিপরীতে লেখা হয়েছে, নিবন্ধটি এখনও সর্বশেষতম উইন্ডোজ সার্ভার সংস্করণে প্রযোজ্য।

— Crypt32
সূত্র