কোনও ওয়েব সার্ভার কীভাবে জানতে পারে যে কী কী জুটি এসএসএল ডিক্রিপশনটির জন্য ব্যবহার করতে হবে?


18

এটি আমার বোঝা যায় যে যখন আপাচি টিসিপি বন্দরগুলির মধ্যে যে কোনওটি শুনছে (যেমন 80, 443) একটি অনুরোধ পেয়েছে, তখন HTTP শিরোনামটি দেখে কোন হোস্টকে অনুরোধ করা হচ্ছে তা সিদ্ধান্ত নেবে Host। সার্ভারটি তখন জানবে যে ভার্চুয়াল হোস্টটির এটিতে অনুরোধটি পুনর্নির্দেশ করা উচিত।

তবে কীভাবে এটি SSL / TLS- র মাধ্যমে HTTP- র কাজ করে? যেহেতু পুরো এইচটিটিপি অনুরোধটি এনক্রিপ্ট করা হচ্ছে (কমপক্ষে এটি আমি বিশ্বাস করি যে আমি কোথাও পড়েছি), সার্ভারের ডেটা ডিক্রিপ্ট করার পরে শিরোনামের তথ্যটি কেবলমাত্র পড়া যায়। তবে ডিক্রিপ্ট করার জন্য, আপনার ওয়েব সার্ভারে একাধিক এসএসএল শংসাপত্র ইনস্টল করতে পারে এমন কী কীটি ব্যবহার করতে হবে তা জানতে হবে।

তাহলে সার্ভার কীভাবে ডিক্রিপশনটির জন্য কোন কীটি প্রয়োজন তা জানতে পারে?


আমার অনুমান :

আমি কল্পনা করতে পারি যে টিএলএস হ্যান্ডশেক প্রয়োজনীয় তথ্য সরবরাহ করে।


সংক্রান্ত "সম্ভাব্য প্রতিলিপির" পতাকা:

যদিও আমি একমত যে লিঙ্কযুক্ত প্রশ্নের উত্তর এবং আমার নিজের উভয়ই একইরকম, আমি অবশ্যই বলছি যে প্রশ্নটি আলাদা। ইন্ডিপেট এসএসএল শংসাপত্র সহ একাধিক সাইট হোস্টিং করা সম্ভব কিনা তা প্রশ্নের বাইরে is পরিবর্তে আমার প্রশ্ন অন্তর্নিহিত প্রযুক্তিগত দিক সম্বোধন করে।




আমি সম্মত হই যে উত্তরগুলি বেশ অনুরূপ, তবে আমি বিশ্বাস করি যে প্রশ্নগুলি বেশ আলাদা।
পাওলো

উত্তর:


29

মূলত, ওয়েব সার্ভারটি এটি জানত না। এই কারণটি ছিল যে আপনি সার্ভারে হোস্ট করতে চান এমন প্রতিটি এসএসএল ভোস্টের জন্য আপনার একটি পৃথক আইপি ঠিকানা প্রয়োজন। এইভাবে, সার্ভারটি জানত যে যখন আইপি এক্সে কোনও সংযোগ আসে, তখন তাকে সম্পর্কিত ভোস্টের জন্য কনফিগারেশন (শংসাপত্র সহ) ব্যবহার করতে হবে।

এটি সার্ভারের নাম ইঙ্গিত দিয়ে পরিবর্তিত হয়েছে , একটি টিএলএস এক্সটেনশান যা সত্যই কোনও ক্লায়েন্টকে হ্যান্ডশেকিংয়ের প্রক্রিয়ায় প্রয়োজনীয় হোস্টনামটি নির্দেশ করতে দেয়। এই এক্সটেনশনটি সমস্ত আধুনিক ওএসে ব্যবহৃত হয়, তবে পুরানো ব্রাউজারগুলি বা সার্ভারগুলি এটি সমর্থন করে না, তাই আপনি যদি ক্লায়েন্টদের এখনও উইনএক্সপিতে আই 6 ব্যবহার করার প্রত্যাশা করেন তবে আপনি ভাগ্য থেকে দূরে থাকবেন।


2
যদি এখনও কেউ এক্সপি ব্যবহার করে তবে তারা যেভাবেই আমার সাইটটি দেখার সুযোগ পাবে না;)
পাওলো

2
ক্লায়েন্টদের এইভাবে সীমাবদ্ধ করার সময় দুর্দান্ত যত্ন নেওয়া দরকার (ব্রাউজারগুলি মানুষ নয়)। অনেকগুলি, অনেকগুলি ব্যবসায় উইন্ডোজগুলিকে খুব ভাল আপগ্রেড করে না এবং কিছু অ্যান্ড্রয়েড ফোন বিক্রেতাদের সাথে এটি একই রকম হয়, তারা সাধারণত তাদের ওএসটি আপগ্রেড করে না (বা কমপক্ষে খুব বেশি নয়)। উইন্ডোজ এক্সপি 8% এ রয়েছে এবং 4.4 পূর্ববর্তী অ্যান্ড্রয়েডের বাজারের শেয়ারটি বিশাল বলে মনে হয়।
coteyr

যদি সার্ভারের এসএনআই সমর্থন না থাকে তবে এসএনআই সমর্থন ছাড়াই সার্ভারের সামনে এসএনআই সমর্থন সহ একটি প্রক্সি ব্যবহার করা সম্ভব।
ক্যাস্পারড

1
@ কোটায়ার বাকি এক্সপি ব্যবহারকারীর সংখ্যাগরিষ্ঠ অংশ চীনে। ভাগ্যক্রমে, কমপক্ষে ইন্টারনেটে অন্য কোথাও খুব কম ব্যবহার রয়েছে।
মাইকেল হ্যাম্পটন

7

দেখে মনে হচ্ছে আপনার টিএলএস / এসএসএল সম্পর্কে কিছু ভুল ধারণা রয়েছে। এইচটিটিপি অনুরোধটি সার্ভারের সর্বজনীন কী দ্বারা এনক্রিপ্ট করা হয়নি। এটি পূর্ববর্তী হ্যান্ডশেকে আলোচিত কী ব্যবহার করে একটি প্রতিসম সাইফার দ্বারা এনক্রিপ্ট করা হয়েছে।

টিএলএস হ্যান্ডশেকের সংক্ষিপ্ত বিবরণ: সার্ভার এবং ক্লায়েন্ট কিছু সিফারসাইট, প্রতিসম কী এবং অন্যান্য কিছু বিশদ আলোচনা করে। এমআইটিএম প্রতিরোধের জন্য, সার্ভার সাধারণত ক্লায়েন্টকে তার শংসাপত্র (চেইন) প্রেরণ করে এবং শংসাপত্রের কীটি ব্যবহার করে হ্যান্ডশেকটি অনুমোদন করে। (এছাড়াও আরও কিছু বৈকল্পিক রয়েছে যেমন, ক্লায়েন্ট প্রমাণীকরণ বা টিএলএস-পিএসকে, তবে সেগুলি HTTP- র সাথে খুব বেশি ব্যবহৃত হয় না)) ক্লায়েন্ট হয় শংসাপত্রটি (সাধারণ পদ্ধতিতে) বৈধতা দিতে পারে বা এড়ানো যায়।

যদিও একটি আইপিতে একাধিক টিএলএস শংসাপত্র ব্যবহার করার সময় এসএনআই গুরুত্বপূর্ণ, সার্ভারের জন্য অনুরোধটি ডিক্রিপ্ট করতে সক্ষম হবে না। এসএনআই ব্যতীত সার্ভারটি জানে না যে কোন শংসাপত্র শৃঙ্খলা প্রেরণ করা উচিত, তাই সার্ভার সাধারণত একটি বাছাই করে (যেমন প্রথম ভোস্ট), যা অবশ্যই ভুল হতে পারে। যদি সার্ভারটি ভুল শংসাপত্র শৃঙ্খলা তোলে, ক্লায়েন্টটিকে এটি প্রত্যাখ্যান করা উচিত (যাতে এটি HTTP অনুরোধ প্রেরণে চালিয়ে যায় না)। তবে, যদি ক্লায়েন্ট শংসাপত্র উপেক্ষা করে (বা যদি এই সাইটের জন্য অবৈধ শংসাপত্রটি বিশ্বস্ত হিসাবে চিহ্নিত করা হয়), তবে এটি সফলভাবে চালিয়ে যেতে পারে। যেহেতু এনক্রিপশনের জন্য ব্যবহৃত প্রতিসাম্য কীটি শংসাপত্রের উপর নির্ভর করে না (টিএলএস শংসাপত্র ছাড়াও কাজ করার জন্য তৈরি করা হয়েছে), সার্ভার এটি ডিক্রিপ্ট করতে পারে।

আমি টিএলএস সম্পর্কে কেন লিখছি তা কেবল একটি ছোট্ট নোট, আপনি যখন এসএসএল সম্পর্কে জিজ্ঞাসা করেছিলেন: টিএলএস হ'ল এসএসএলের নতুন সংস্করণ। এসএসএলের সমস্ত সংস্করণকে সাধারণ ব্যবহারের জন্য নিরাপদ হিসাবে বিবেচনা করা হয়, সুতরাং আমরা এখন বেশিরভাগ টিএলএস (1.0, 1.1, 1.2) ব্যবহার করছি।


"এইচটিটিপি অনুরোধটি সার্ভারের সর্বজনীন কী দ্বারা এনক্রিপ্ট করা হয়নি It এটি পূর্ববর্তী হ্যান্ডশেকে আলোচনার কীটি ব্যবহার করে একটি প্রতিসম সাইফার দ্বারা এনক্রিপ্ট করা হয়েছে।" জানেন না যে, মাথা আপ জন্য ধন্যবাদ! আমি জানি, তবে, টিএলএস এসএসএলকে প্রতিস্থাপন করেছে, তবুও আমরা প্রচলিত শব্দ "এসএসএল শংসাপত্র" দিয়ে আটকেছি, তাই আমার উল্লেখ রয়েছে।
পাওলো

আমি জানি যে "এসএসএল শংসাপত্র" এর মতো পদগুলি প্রায়শই টিএলএসের জন্য থাকে। আমি সেগুলি এড়াতে চেষ্টা করছি, তবে আপনি (বা অন্যরা) টিএলএস শব্দটি জানেন কিনা তা নিশ্চিত ছিলাম না।
v6ak
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.