সিএ রুটের শংসাপত্রগুলি সমস্ত এসএইএ -1 স্বাক্ষরিত (যেহেতু এসএএএ -1 হ্রাস করা হয়)?

আমি বুঝতে পারি যে এসএসএ -১ ব্যবহার করে এসএসএল শংসাপত্রগুলি স্বাক্ষর করা যাবে না। তবুও, সমস্ত সিএ রুটের শংসাপত্রগুলি SHA-1 স্বাক্ষরিত (বেশিরভাগ)। এর অর্থ কি একই অ্যালগরিদম যা "আপনার দাদী এসএসএল শপ" এর জন্য বিশ্বস্ত নয় এটি বিশ্বের সর্বোচ্চ শীর্ষ সুরক্ষিত শংসাপত্রের জন্য ভাল?

আমি কিছু অনুপস্থিত করছি? (কী ব্যবহার? কী আকার?)

রুট সিএ শংসাপত্রগুলির স্বাক্ষর কোনও বিষয় নয়, কারণ সেগুলি যাচাই করার দরকার নেই। তারা সকলেই স্ব-স্বাক্ষরিত।

আপনি যদি কোনও মূল সিএ শংসাপত্র বিশ্বাস করেন তবে এর স্বাক্ষর যাচাই করার দরকার নেই। আপনি যদি এটি বিশ্বাস না করেন তবে এর স্বাক্ষর আপনার পক্ষে মূল্যহীন।

সম্পাদনা করুন: নীচে কিছু খুব প্রাসঙ্গিক মন্তব্য আছে। আমি তাদের অনুলিপি করা বা পুনরায় প্রকাশ করা এবং তাদের লেখকের পরিবর্তে কৃতিত্ব নিতে স্বাচ্ছন্দ্য বোধ করি না। তবে আমি এই উত্তরে ব্যাখ্যা যুক্ত করার জন্য লোকদের স্বাগত জানাই।

দিন শেষে, একটি মূল শংসাপত্র স্ব স্বাক্ষরিত হয়। এটি নিজে ছাড়া আর কোনও সত্তা স্বাক্ষরিত হয় না। রুট শংসাপত্রটি বিশ্বস্ত প্রকাশকদের ব্রাউজারগুলির তালিকায় এটি জমা দেওয়া বা উইন্ডোজ বিশ্বস্ত প্রকাশকদের ডিফল্ট তালিকায় প্রবেশের জন্য মাইক্রোসফ্ট দ্বারা গ্রহণ করা যেমন আউট-অফ-ব্যান্ড প্রক্রিয়াগুলির মাধ্যমে তার আস্থা অর্জন করে।

এই শংসাপত্রগুলি (এবং যে সংস্থাগুলি সেগুলি স্ব-স্বাক্ষর করেছে) কেবলমাত্র তাদের স্বাক্ষর ছাড়া অন্য উপায়ে পুরোপুরি পরীক্ষা করা হয়েছে।

কেবলমাত্র এটির ক্ষেত্রেই মূলটি SHA-1 দ্বারা স্বাক্ষরিত হলে এটি SHA-1 দ্বারা বাতিল করা যেতে পারে। এটি, SHA-1 আক্রমণ করতে পারে এমন কেউ শিকড়টির জন্য একটি প্রত্যাহার তৈরি করতে পারে। এবং আমি পুরোপুরি নিশ্চিত যে ব্রাউজার কীভাবে তা বজায় রাখতে জানে না তাই ভ্যান্ডালটি এসএসএল সংযোগগুলি বাদ দেওয়ার চেয়ে বেশি কিছু করতে পারেনি। কিভাবে পঙ্গু.

এটির একটি নোট হিসাবে, কিছু সিএ ইতিমধ্যে তাদের মূল এবং মধ্যবর্তী শংসাপত্রগুলি SHA256 এ যাইহোক আপডেট করে চলেছে।

আমি জানি যে গত বছর গ্লোবাল সাইন তাদের শংসাপত্রগুলি আপডেট করে যাচ্ছিল যেহেতু আমরা আমাদের কোড-সাইনিং শংসাপত্রগুলি আপডেট করেছিলাম, তাই আমাকেও তাদের নতুন চেইন যুক্ত করতে হয়েছিল।

কোন নির্দিষ্ট শংসাপত্রগুলি আপডেট হয়েছে এবং কোনগুলি সেগুলি আপডেট করেছে তা আপনি যাচাই করতে পারেন তবে এখানকার জন্য একটি উত্তরাধিকারী SHA1 শংসাপত্রও রেখেছেন => 1 left

আশা করি এইটি কাজ করবে.

রুট সিএর জন্য, আপনি সিআরটির অন্তর্গত সিএ-এর পাবলিক কীতে আপনাকে বিশ্বাস দিয়েছেন - এর স্ব স্বাক্ষর নির্বিশেষে।

কাঁচা জনসাধারণের কী পরিবর্তে সিআরটি ফাইল ফর্ম্যাট ব্যবহার করে সিএ বর্ণনা করা .পিইএম এতে আরও বিশদ - যেমন সিএ নাম - বান্ডিল করতে দেয় ((আবারও স্বাক্ষরটি মূল্যহীন)

আছে খুব পুরানো যুগের, বেশিরভাগ 2006 বা তার আগে ইতিমধ্যে পিনযুক্ত বিশ্বস্ত SHA1 এ রুট শংসাপত্রগুলি আছে যা ব্রাউজার গ্রহণ, কিন্তু না কোন নতুন সার্টিফিকেট। ফায়ারফক্স এবং ক্রোম কখন একক ডিজিট ব্যবহার করে সংস্করণ করা হয়েছিল মনে আছে?

শংসাপত্রগুলি ব্যর্থ হয় যদি রুট সিএ SHA1 শংসাপত্রগুলি 2014 এর পরে কোনও কিছুতে সেট করার আগে নয় এর সাথে ব্যবহার করে। প্রকৃত তারিখের সীমাবদ্ধতা ব্রাউজার বা অন্যান্য অ্যাপ্লিকেশানের উপর নির্ভর করে। ওয়েবসিএ ক্যাবফরম কয়েক বছর আগে এটি পরিষ্কার করে দিয়েছে। এটি নিজে পরীক্ষা করুন:

1. একটি SHA1 এর সাথে স্বাক্ষরযুক্ত একটি ব্যক্তিগত রুট শংসাপত্র কর্তৃপক্ষের অবকাঠামো তৈরি করুন, এটিকে rootSHA1 বলুন
2. রুট এসএএইচএ একটি "ইস্যু করা" সিএ বা "ইন্টারমিডিয়েট" সিএ তৈরি করুন যা মূল পর্যন্ত বেঁধে রাখা শংসাপত্রের সাথে শংসাপত্র জারি করে। এটিকে মধ্যবর্তী এসএইচ 256 বলুন।
3. ইন্টারমিডিয়েট এসএইচ 256 জারি করে সিএ একটি sha256 বা আরও বেশি হ্যাশ দিয়ে স্বাক্ষরিত একটি শংসাপত্র তৈরি করুন। এটিকে ওয়েব সার্ভার এসএইচ 256 বলে।
4. ওয়েব সার্ভারএসএইচ 256. ওয়েব সার্ভারএসএইচ 56.mydomain.com এ ইনস্টল করুন।
5. গুগল ক্রোমে যথাযথ স্থানে rootSHA1, মধ্যবর্তী SHA256 এবং ওয়েব সার্ভার SHA256 শংসাপত্রগুলি ইনস্টল করুন। বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষ এবং শংসাপত্র শৃঙ্খলা সহ অন্যদের মধ্যে রুট ইনস্টল করুন।
6. Https://webServerSHA256.mydomain.com/ এ গুগল ক্রোম নেভিগেট করুন এবং ওয়েবসভারএসএইচ 256 এর জন্য কোনও সবুজ প্যাডলক নেই তা যাচাই করুন। পরীক্ষা ব্যর্থ হয়।