উত্তর:
সাবধানতার কিছু শব্দ দিয়ে শুরু:
আমি কি লেটসেক্রিপ্টের সাথে পাবলিক-কী-পিনগুলি ব্যবহার করতে পারি?
যদি শংসাপত্রটি পুনর্নবীকরণ করা হয় তবে পাবলিক-কী-পিনটিও ঠিক পুনর্নবীকরণ করা হচ্ছে?
জিএফ_-এর সমস্ত প্রতিধ্বনিত হবে।
তবে, প্রশ্নের উত্তর দিতে, হ্যাঁ আপনি পারেন।
ডিফল্টরূপে আসুন এনক্রিপ্ট কী এবং শংসাপত্র পুনর্নবীকরণে পুনরায় তৈরি করুন। আপনি যদি পাতায় পিন করতে চান তবে এইচপিকেপি বাস্তবায়ন করা কঠিন করে তোলে, যা অন্তর্বর্তী পরিবর্তনগুলির ক্ষেত্রে আপনার সম্ভবত করা উচিত ( যেমন এটি মার্চ ২০১ 2016 তে হয়েছিল )।
সুতরাং আপনি যদি এখনও এইচপিকেপি করতে চান তবে এর চারপাশে বেশ কয়েকটি বিকল্প রয়েছে:
আমি সবেমাত্র ডিএনএস 01 বৈধতার সাথে ডিহাইড্রেটেড ক্লায়েন্ট ব্যবহার করে এটি প্রয়োগ করেছি । Dns01 হুকটি সার্টজ্যুর কারণ আমাদের ডিএনএস আজুরেতে হোস্ট করা আছে।
সম্পাদনা: আমি যখন ব্যক্তিগত কীগুলি নিয়ে কথা বলি, স্পষ্টতই আমি সর্বদা এর অর্থ হ'ল আপনি কেবল সর্বজনীন কী অংশগুলিকে পিনে পরিণত করেন। নাম অনুসারে ব্যক্তিগত কীগুলি সর্বদা ব্যক্তিগত থাকা উচিত । প্রয়োগের বিশদগুলির জন্য আমার নিজস্ব হুক দেখুন।
এটি সম্ভব করার জন্য আপনার ব্যক্তিগত কী রোলওভার দরকার। এটি হ'ল, আপনার কাছে সর্বদা বর্তমান ব্যক্তিগত কী (একে এটিকে ডাকুন) এবং ভবিষ্যতের ব্যক্তিগত কী (হাত বোলে এটি কল করুন) থাকে, যাতে আপনি এগুলি উভয়ই আপনার পিনগুলিতে যুক্ত করতে পারেন। সুতরাং এই মুহুর্তে আপনার পিনগুলি এ এবং বি হয় যখন শংসাপত্র পুনর্নবীকরণের দিন আসে, ব্যক্তিগত কী এ অপ্রচলিত হয়ে যায় এবং বি লাইভ হয়ে যায়। একই সময়ে আপনি একটি নতুন ভবিষ্যতের প্রাইভেট কী পেয়েছেন, এটিকে সি কল করুন আপনি নিজের পিনের তালিকাটি পুনঃজেনারেট করুন তাই এখন এতে বি এবং সি রয়েছে So ডিহাইড্রেটেড এটি এখন সমর্থন করে ।
এছাড়াও, আপনার এমন একটি হুক দরকার যা প্রতিবারই আপনার শংসাপত্রগুলি পুনর্নবীকরণ করা হয় এবং এইভাবে আপনার ব্যক্তিগত কীগুলি রোল করে। আমি এটি নিজে থেকে বাস্তবায়ন করেছি ।
অবশেষে, আমি যদি এই অধিকার পেয়ে যাই তবে আপনি নিশ্চিত হয়ে যাবেন:
HPKP age x 2 < days between cert renewals
উদাহরণস্বরূপ, যদি আপনার এইচপিকেপির বয়স 50 দিন হয় এবং আপনি প্রতি 30 দিন পরে শংসাপত্রগুলি পুনর্নবীকরণ করেন, এক ক্লায়েন্ট যিনি একদিন আপনার সাইটটি পরিদর্শন করেছিলেন সেটি ব্যক্তিগত কী এবং ক এর সাথে আটকে থাকবে এবং আপনি 31 ও দিন বি এবং সিতে গড়াবেন Your আপনার সার্ভারে বি এবং সি রয়েছে, ক্লায়েন্টের এ এবং বি রয়েছে, 50 দিনেরও একটি মিল আছে এবং ক্লায়েন্টটি সাইটটি সঠিকভাবে খুলবে।
তবে আসুন দেখে নেওয়া যাক HPKP বয়স 70 দিন কিনা। আপনি প্রতি 30 দিন পরে শংসাপত্রগুলি পুনর্নবীকরণ করেন এবং ক্লায়েন্টটি প্রথম দিনেই আপনার সাইটটি পরিদর্শন করে, আবার এটির জন্য কেবলমাত্র ব্যক্তিগত কী এবং A আছে বি 31 এবং আপনি দিন 31-এ বি এবং সি-তে গিয়েছিলেন এবং C১ এ সি এবং ডি-তে গড়িয়েছেন 61 আপনার সার্ভারে সি এবং ডি রয়েছে, ক্লায়েন্টের এ এবং বি রয়েছে, কোনও মিল নেই এবং ক্লায়েন্টের এইচপিকেপি পলিসির মেয়াদ শেষ হওয়ার পরে day১ দিন থেকে day১ তারিখ পর্যন্ত মধ্যম আঙুল দেওয়া হয়।
আরেকটি, সম্ভবত নিরাপদ এবং অবশ্যই আরও সহজ বিকল্পটি হ'ল প্রতি বারে একই ব্যক্তিগত কী ব্যবহার করে এবং এক বা একাধিক ব্যাকআপ ব্যক্তিগত কী উত্পন্ন করছে, তারপরে এগুলি আপনার এইচপিকেপি কনফিগারেশনে হার্ডকোডিং করে এবং এটি দিয়ে সম্পন্ন করা হবে।
হ্যাঁ, এটি কৌতূহলোদ্দীপক এবং এমন গুপ্তচর থাকতে পারে যা আমি ভেবে দেখিনি, তবে আমরা দীর্ঘ সময় ধরে দেখব। স্পষ্টতই আমি এটিকে HPKP বয়সের সংক্ষিপ্ত (15 দিন) বয়সযুক্ত একটি অবৈধ সাবডোমেনে স্থাপন করেছি যাতে এটি বিশাল সমস্যায় না পড়ে।
সম্পাদনা করুন: লেটস এনক্রিপ্টের সাহায্যে আপনাকে এইচপিকেপি স্থাপন এবং এনজিনেক্স ব্যবহার করে ডিহাইড্রেটেড স্থাপনে সহায়তা করতে আমি কয়েকটি স্ক্রিপ্ট লিখেছি: