সান এবং এসএনআই এসএসএল শংসাপত্রগুলির মধ্যে পার্থক্য কী?

21

কেউ কি আমাকে এই শংসাপত্রগুলির মধ্যে পার্থক্যটি সরলভাবে ব্যাখ্যা করতে পারেন? আমি কিছু নিবন্ধ পড়েছি তবে মনে হচ্ছে তারা একই কাজ করে, যেমন একটি শংসাপত্র সহ অনেকগুলি ডোমেন এনক্রিপ্ট করে।

ssl sni subject-alternative-names

— এএফএ মেড
সূত্র

11

ঠিক আছে, প্রথমে, "এসএনআই" এসএসএল শংসাপত্র বলে কোনও জিনিস নেই।

— মাইকেল হ্যাম্পটন

36

সান (সাবজেক্ট বিকল্প নাম) X509 শংসাপত্রের অংশের অংশ যেখানে শংসাপত্রটিতে বিকল্প নামের একটি তালিকা রয়েছে যা এই বিষয়ের জন্য বৈধ (একক সাধারণ নাম / সিএন ছাড়াও)। এই ক্ষেত্র এবং ওয়াইল্ডকার্ডের নামগুলি একাধিক নামের জন্য একটি শংসাপত্র ব্যবহারের মূলত দুটি উপায়।

এসএনআই (সার্ভার নেম ইন্ডিকেশন) একটি টিএলএস প্রোটোকল এক্সটেনশন যা HTTP হোস্ট-শিরোনামের সমতুল্য একটি TLS প্রোটোকল সাজানো। যখন কোনও ক্লায়েন্ট এটি প্রেরণ করে, এটি সার্ভারের পাশে পৃথক আইপি ঠিকানা ব্যবহারের সীমাবদ্ধতা না রেখে সার্ভারকে ক্লায়েন্টের কাছে উপস্থাপনের জন্য যথাযথ শংসাপত্র বাছাই করতে দেয় (অনেকটা এইচটিটিপি হোস্ট শিরোনাম কীভাবে প্লেইন এইচটিটিপি-র জন্য খুব বেশি ব্যবহৃত হয়) এর মতো।

মনে রাখবেন যে এসএনআই হ'ল এমন কিছু নয় যা শংসাপত্রের মধ্যে প্রতিবিম্বিত হয় এবং প্রশ্নটি যা জিজ্ঞাসা করে তার বিপরীতে এটি আসলে অর্জন করে; এটি অনেক কিছুর জন্য একটি শংসাপত্র ব্যবহার না করে অনেক শংসাপত্র থাকা সহজতর করে।

অন্যদিকে, এটি নির্ভর করে যে পরিস্থিতি আসলে কোন পথে সবচেয়ে বেশি পছন্দ করে। উদাহরণস্বরূপ, প্রশ্নটি যা জিজ্ঞাসা করে তা প্রায় নিশ্চিতভাবেই না আপনি যদি বিভিন্ন সত্তার জন্য শংসাপত্রের প্রয়োজন হয় তবে আপনি আসলে কী চান।

— হাকান লিন্ডকভিস্ট
সূত্র

2

এটি লক্ষণীয় যে সিএন একটি দীর্ঘ সময় ধরে অবনতি হয়েছে, যদি নাম সিএন এ থাকে তবে সান নয় (বা যদি কোনও সার্টের সান ক্ষেত্র না থাকে) প্রচুর ক্লায়েন্ট আপনাকে ক্ষিপ্ত করে তুলবে।

— কোডরেঞ্জার

1

@ কোডেঞ্জার যদি সান ক্ষেত্র থাকে তবে সিএন ফিল্ড বেশিরভাগ ক্লায়েন্টদের দ্বারা উপেক্ষা করা হবে। যদি সান ক্ষেত্র না থাকে তবে সিএন ফিল্ড বেশিরভাগ ক্লায়েন্টের সাথে কাজ করে (এবং তারা যদি আমার প্রতি ক্ষিপ্ত হয় তবে এটি প্রদর্শিত হয় না)।

— kubanczyk

1

তারা নিরবে আপনাকে বিচার করছে।

— দোলা

এসএনআই কি ভার্চুয়াল হোস্টগুলির অনুরূপ কিছু যেখানে একটি আইপি অ্যাড্রেস সহ একটি সার্ভার এইচটিটিপি কনফিগারেশনে সংজ্ঞায়িত বেশ কয়েকটি হোস্ট ধারণ করে? (একরকম মাল্টিপ্লেক্সিং: আলাদা আলাদা আইপি সহ প্রতিটি সার্টের পরিবর্তে কয়েকটি শংসাপত্রের জন্য একটি আইপি ব্যবহার করা হচ্ছে, যেখানে আজকাল আইপিভি 4 একটি দুর্লভ সংস্থান রয়েছে)?

— ফার্নান্দো গ্যাব্রিয়েলি

1

@ ফার্নান্দো গ্যাব্রিয়েলি হ্যাঁ, এটি টিএলএস স্তরে একই ধরণের নাম ভিত্তিক সেটআপ সক্ষম করে।

— হাকান লিন্ডকভিস্ট

14

SAN এর অর্থ সাবজেক্ট বিকল্প নাম , এবং এটি একটি x509 শংসাপত্রের সম্পত্তি এবং এসএনআই এমন একটি বৈশিষ্ট্য যা এসএসএল / টিএলএস ক্লায়েন্ট সমর্থন করতে পারে, এইভাবে একেবারে পৃথক সত্তা।

সান সহ একটি শংসাপত্র ব্যবহার করে আপনি ক্লায়েন্ট এসএনআই সমর্থন না করলেও আপনি এক আইপি ঠিকানায় একাধিক এইচটিটিপিএস-সক্ষম সাইটগুলি হোস্ট করতে পারেন । এই ক্ষেত্রে আপনি আপনার সাইট সব জন্য একটি শংসাপত্র রয়েছে ধরে রাখুন, এবং এই ধরনের সার্টিফিকেট (সাইট নামের সব থাকা আবশ্যক ServerNames অথবা ServerAliasApache স্থানাঙ্ক স্প্যানিশ ভাষায়, অথবা server_namenginx মধ্যে) হিসাবে এটা SANs । এটি একটি উত্তরাধিকার পদ্ধতির একটি উপসেট, এটি "প্রতিটি পৃথক আইপি ঠিকানায় একটি এইচটিটিপিএস-সক্ষম সাইট" প্রসারিত করে। বর্তমানে শুধুমাত্র বৃহৎ CDNs দিয়ে বিদ্ধ সান ।

এসএনআই ব্যবহার করে আপনি একটি আইপিতে একাধিক এইচটিপিপিএস-সক্ষম সাইটগুলি হোস্ট করতে পারেন, আপনি প্রতিটি সাইটের জন্য পৃথক x509 শংসাপত্র রাখেন এবং এর মধ্যে তাদের সান সম্পত্তিতে অন্য কোনও সাইটের নাম উল্লেখ করা হয়নি , তবে টিএলএস ক্লায়েন্ট (যেমন ব্রাউজার এবং কনসোল ক্লায়েন্ট যেমন wgetবা curl) অবশ্যই এসএনআই সমর্থন করা উচিত । এটি একটি আধুনিক পদ্ধতি, যেহেতু শেষ ওএসটি এসএনআই -কে-অফ-বাক্সটিকে সমর্থন করে না , আইই 6.x সহ উইন্ডোজ এক্সপি ছিল, যদি আমি সঠিকভাবে মনে করি। আজকাল আপনি দেখতে পারেন সান যদি আপনি ক্রয় সম্পত্তি ওয়াইল্ডকার্ড উদাহরণ এই ধরনের কোনো শংসাপত্র জন্য - শংসাপত্র *.foobar.comএকটি থাকতে হবে কমন নেম এর *.foobar.comএবং সান এর foobar.com।

— drookie
সূত্র

1

প্রযুক্তিগতভাবে, আমি বিশ্বাস করি না যে কোনও এসএসএল ক্লায়েন্ট এসএনআই সমর্থন করতে পারে (আমার জ্ঞানের কাছে এটি একটি টিএলএস এক্সটেনশন যা এসএসএলে কখনও দেখা যায়নি)।

— হাকান লিন্ডকভিস্ট

3

SAN এবং SNI উভয়েরই ক্লায়েন্ট সমর্থন প্রয়োজন। তবে যেহেতু SAN অনেক বেশি সময় ধরে রয়েছে তাই এটি আরও ব্যাপকভাবে সমর্থিত।

— কাস্পারড

4

এটি শংসাপত্রের প্রক্রিয়ার দুটি অংশকে মিশ্রিত করে।

একটি স্যান একটি বিষয় বিকল্প নাম। একাধিক ডোমেনের জন্য একটি শংসাপত্র তৈরির উপায়। শংসাপত্রের SAN ক্ষেত্রে আপনার শংসাপত্রের জন্য অন্য ডোমেনগুলি কেবল যুক্ত করুন। ব্রাউজারটি তখন এই ডোমেনগুলির বৈধতাও গ্রহণ করবে।

এসএনআই হ'ল সার্ভারের নাম ইঙ্গিত এবং এটি এসএসএলের একটি অংশ। এটি আপনাকে একক আইপিতে একাধিক এসএসএল সাইট হোস্ট করার অনুমতি দেয় কারণ পছন্দসই সার্ভারের নাম এসএসএল হ্যান্ডশেক দিয়ে প্রেরণ করা হয়েছে এবং সার্ভার উত্তরের জন্য সঠিক শংসাপত্রটি চয়ন করতে পারে।

— ক্রিস্টোফার পেরিন
সূত্র

0

এখানে একটি (সম্ভবত) আরও মানব পাঠযোগ্য উত্তর:

এসএনআই ক্লায়েন্টের পক্ষ থেকে পরিচালিত হয় এবং টিএলএস স্ট্যাককে বলে "আমি একটি সার্ভারের সাথে কথা বলতে চাই যার নাম [সার্ভার এক্স]"। সার্ভার এই [সার্ভার এক্স] স্ট্রিংটি দেখে এবং উপযুক্ত শংসাপত্রের জবাব দেয়। একটি ব্যবহারিক উদাহরণ হ'ল যখন একক সার্ভারকে একাধিক ডোমেনের জন্য ট্র্যাফিক সরবরাহ করতে হয়। ক্লায়েন্ট যদি আইপি ব্যবহার করে তবে এটি দরকারী (ডিএনএস লুকানোর বিলম্ব এড়ানোর জন্য) তবে শংসাপত্র সিএন আইপি উল্লেখ না করে।

SAN শংসাপত্রগুলিতে "এছাড়াও হিসাবে পরিচিত" এর একটি তালিকা। এইভাবে সার্ভারটি অনেক নামের জন্য একটি একক শংসাপত্র ব্যবহার করতে পারে। একটি একই শংসাপত্র এবং এমনকি আইপিগুলির তালিকায় অনেকগুলি ডোমেন যুক্ত করতে পারে।

আপনি দেখতে পাচ্ছেন, জিনিসগুলি ওভারল্যাপ করে। এক বা উভয়ের মধ্যে নির্বাচন করা নির্ভর করে যেখানে কারও উপর নিয়ন্ত্রণ রয়েছে। কিছু ক্লায়েন্ট এসএএনআই-এর ভিত্তিতে উপযুক্ত শংসাপত্র সরবরাহের মাধ্যমে SAN- তে নাম এবং সম্বোধনের একমাত্র উপায় সনাক্ত করতে পারে না। এমন একটি পরিস্থিতিতে রয়েছে যে কোনও সার্ভার একটি একক শংসাপত্রের জন্য API সরবরাহ করে বা ক্লায়েন্ট এসএনআই প্রেরণ করে না। এই ক্ষেত্রে, স্যান হল একমাত্র উপায়।

আমার সংস্থা উভয় ব্যবহার করে। তারা নমনীয়তা সরবরাহ করে এবং পশ্চাৎ এবং সামনের সামঞ্জস্যকে সহজ করে তোলে।

— ইগর গ্যাটিস
সূত্র