কোনও ওয়েবসাইটের জন্য একটি এসএসএল শংসাপত্র কতটা গুরুত্বপূর্ণ?

আমি আমার নিজের প্রকল্পটি বুটস্ট্র্যাপ করছি, এটিতে একটি নিবন্ধকরণ / লগইন অঞ্চল রয়েছে (সঠিকভাবে হ্যাশ করা এবং অবশ্যই লবণের মাধ্যমে) যেহেতু আমি সাবডোমেনগুলি ব্যবহার করছি এবং আমার তাদের আইফ্রেমে অ্যাক্সেস করতে হবে (এটি ন্যায়সঙ্গত, সত্যই!) আমার সেই সব ব্যয়বহুল শংসাপত্রের একটি দরকার যা সাবডোমেনগুলি কভার করে।

যেহেতু আমি এটি আমার নিজের সময় এবং অর্থের বাইরে করে চলেছি, তাই আমি শংসাপত্রের উপর কয়েকশ কয়েক ফেলে দিতে দ্বিধা বোধ করি, আরও কিছু ঘন্টার মধ্যে কয়েক ঘন্টা চেষ্টা করে যা আমি এর আগে চেষ্টা করি নি। আমি ইমেল ঠিকানা এবং পাসওয়ার্ড ছাড়াও কোনও সংবেদনশীল তথ্য সংরক্ষণ করছি না। যতদূর আমি বুঝতে পেরেছি, কেবল তখনই দুর্বলতা ঘটে যখন কোনও ব্যবহারকারী লেনদেন করেন বা একটি এনক্রিপ্ট না করা নেটওয়ার্ক (যেমন একটি কফি শপ) থেকে সাইন আপ করেন এবং কেউ নেটওয়ার্ক শোনেন।

আমি কি সস্তা হচ্ছি? এটি কি এমন কিছু যা বন্যের মধ্যে ছেড়ে যাওয়ার আগে আমাকে মোকাবেলা করা উচিত। আমার সম্ভবত উল্লেখ করা উচিত যে আমি লঞ্চ করার সময় বিজ্ঞপ্তি পেতে আমার 25,000 জন ব্যবহারকারী সাইন আপ করেছেন, তাই আমি এ সম্পর্কে নার্ভাস।

যেহেতু এই প্রশ্নটি জিজ্ঞাসা করা হয়েছিল, সেই সময়ের মধ্যে অনেক কিছুই বদলেছে। আপনার সাইটে কি এইচটিটিপিএস দরকার? হ্যাঁ!

1. ডোমেইন বৈধতা সঙ্গে সার্টিফিকেট হয় বিনামূল্যে অনেক প্রদানকারীর থেকে, যেমন আসুন এনক্রিপ্ট করি। এই শংসাপত্রগুলি যেমনগুলির জন্য আপনি অর্থ প্রদান করেন ঠিক তেমনই দুর্দান্ত। সার্ভারের নাম সনাক্তকরণের জন্য ধন্যবাদ, কোনও আইপি ঠিকানার মালিকানা প্রয়োজন নয়।

2. ব্রাউজারগুলি নিরপেক্ষ না হয়ে এইচটিটিপিএসবিহীন পৃষ্ঠাগুলিকে ক্রমবর্ধমান নিরাপত্তাহীন হিসাবে চিহ্নিত করছে । আপনার সাইটটিকে নিরাপত্তাহীন হিসাবে চিহ্নিত করা ভাল দেখাচ্ছে না।

3. আধুনিক ওয়েব প্রযুক্তিগুলির জন্য এনক্রিপশন প্রয়োজন। এটি কেবল এইচটিটিপিএস সাইটগুলির জন্য কেবল নতুন বৈশিষ্ট্য সক্রিয় করার নীতি, গুগলের এইচটিটিপিএস সাইটগুলির জন্য পছন্দসই র‌্যাঙ্কিং বা এনক্রিপ্টড এইচটিটিপি / ২ প্লেটেক্সট এইচটিটিপি / ১.১ এর চেয়ে দ্রুততর হোক না কেন , আপনি টেবিলে সুযোগগুলি ছাড়ছেন। হ্যাঁ, এনক্রিপশনটি আপনার সার্ভারগুলিতে লোড যুক্ত করে, তবে বেশিরভাগ সাইটের ক্ষেত্রে এটি অবিস্মরণীয় - এবং বিশেষত ব্যবহারকারীদের কাছে অপ্রয়োজনীয়।

4. প্রাইভেসি আগের চেয়ে বেশি গুরুত্বপূর্ণ। আইএসপিগুলি আপনার ক্লিক স্ট্রিম বিক্রয় করছে বা গোপন পরিষেবাদিগুলি আপনার সমস্ত সংযোগের মধ্য দিয়ে চলেছে, কোনও যোগাযোগ সর্বজনীনভাবে দৃশ্যমান রাখার উপযুক্ত কারণ নেই। ডিফল্টরূপে এইচটিটিপিএস ব্যবহার করুন এবং কেবলমাত্র এইচটিটিপি ব্যবহার করুন যদি আপনি নিশ্চিত হন যে কোনও সংক্রমণিত তথ্য নিরাপদে প্রকাশ্যে প্রকাশিত হতে পারে, এবং তাতে ছড়িয়ে পড়তে পারে।

   নোট করুন যে পাসওয়ার্ডগুলি সরল টেক্সট সংযোগের মাধ্যমে প্রেরণ করা উচিত নয়।

   ইইউ-জিডিপিআর-র মতো কিছু বিধিবিধানের অধীনে আপনাকে আর্ট সুরক্ষা ব্যবস্থাগুলির রাষ্ট্রের প্রয়োগ করতে হবে, যার মধ্যে সাধারণত ওয়েবসাইটগুলির জন্য এইচটিটিপিএস অন্তর্ভুক্ত থাকবে।

অ-সমাধানের একটি দম্পতি রয়েছে:

• "পাসওয়ার্ডের পরিবর্তে ওআউথ ব্যবহার করুন" এই পয়েন্টটি মিস করে যে এখনও পাসওয়ার্ডের মতো টোকেন জড়িত রয়েছে। খুব কমপক্ষে, আপনার ব্যবহারকারীদের একটি সেশন কুকি থাকবে যা সুরক্ষিত থাকতে হবে, এটি অস্থায়ী পাসওয়ার্ড হিসাবে কাজ করে।

• স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্রাউজারগুলি দ্বারা প্রত্যাখ্যাত হয়। এটি ব্যতিক্রম যুক্ত করা সম্ভব, তবে বেশিরভাগ ব্যবহারকারী তা করতে সক্ষম হবেন না। নোট করুন যে একটি স্ব-স্বাক্ষরিত শংসাপত্র উপস্থাপন করা অবৈধ শংসাপত্র ব্যবহার করে একটি এমআইটিএম আক্রমণ থেকে ব্যবহারকারীর কাছে পৃথক।

সুতরাং: শংসাপত্রগুলি নিখরচায় এবং এইচটিটিপিএস আপনার সাইটটিকে আরও দ্রুত তৈরি করতে পারে। আর কোনও বৈধ অজুহাত নেই। পরবর্তী পদক্ষেপ: এইচটিটিপিএসে স্থানান্তরিত করতে এই গাইডটি পড়ুন ।

আমি একটি কিনতে হবে। শংসাপত্রের ব্যয়টি এটি ব্যবহারকারীদের যে স্তরের আস্থা রাখে তা বিবেচ্য নয়। এটিকে বিনিয়োগ হিসাবে ভাবেন। যদি আপনার অ্যাপ্লিকেশনগুলি সুরক্ষিত বলে মনে হয় না (এবং সঠিকভাবে স্বাক্ষরিত এসএসএল শংসাপত্রগুলি কোনও ওয়েবসাইট সুরক্ষিত আছে এমন ধারণা দেয়) লোকেরা আপনার ভবিষ্যতের পণ্যগুলি ব্যবহারে আগ্রহ হারাতে পারে।

আপনি যদি কেবল "ইমেল" এবং পাসওয়ার্ড সংগ্রহ করে থাকেন তবে কোনও তহবিল সম্পাদনের আগে আপনি নিজের শংসাপত্র ওপেনএসএসএল (http://www.openssl.org/) তৈরি করার চেষ্টা করতে পারেন।

কিন্তু ...

এটি "জিনিসগুলি চেষ্টা করার" জন্য আপনি কেবল কিছু করতে পারেন কারণ ওয়েবসাইট ব্যবহারকারীরা যুদ্ধবিরতি পাবেন কারণ এটি কোনও স্বীকৃত / স্বীকৃত শংসাপত্র নয়।

আমার পরামর্শ হ'ল এসএসএলে বিনিয়োগ করা, কেবলমাত্র ইমেল এবং পাসওয়ার্ডগুলি খুব সংবেদনশীল ব্যক্তিগত ডেটা যা অন্য ধরণের এক্সপোজারের দিকে নিয়ে যেতে পারে (বলুন যে আমি আমার ইমেল অ্যাকাউন্টের জন্য একই পাস ব্যবহার করি - যদি এই তথ্যটি ফাঁস হয় তবে সমস্ত ইমেল) অন্যান্য অনলাইন পরিষেবাগুলির জন্য আমার কাছে থাকা সিসি ডেটা সহ যে কোনও এবং সমস্ত অ্যাক্সেসের তথ্য সহ ডেটা উন্মুক্ত করা হয়েছে এবং whatশ্বর জানেন যে অন্য কী ...)

আমাদের সুরক্ষিত এবং বিশ্বাসযোগ্য WEB দরকার এবং ব্যবহারকারীর সুরক্ষার জন্য কয়েক ডজন টাকা একটি ছোট দাম। (এমনকি এসএসএলের মতো বেসিক)

নিরাপত্তা উদ্বেগ

যতদূর আমি বুঝতে পেরেছি, কেবল তখনই দুর্বলতা ঘটে যখন কোনও ব্যবহারকারী লেনদেন করেন বা একটি এনক্রিপ্ট না করা নেটওয়ার্ক (যেমন একটি কফি শপ) থেকে সাইন আপ করেন এবং কেউ নেটওয়ার্ক শোনেন।

এটি সত্য নয়, ব্যবহারকারী এবং আপনার ওয়েবসাইটের মধ্যে প্রেরিত ডেটা কখনও নিরাপদ থাকে না। যেমন একটি উদাহরণ হিসাবে, http://www.pcmag.com/article2/0,2817,2406837,00.asp একটি ভাইরাসের গল্পের বিবরণ দেয় যা মানুষের ডিএনএস সেটিংস পরিবর্তন করে changed আপনার বর্তমান নেটওয়ার্কটি কতটা সুরক্ষিত হোক না কেন, ইন্টারনেটে কোনও জমা দেওয়া আপনার কাছে পাওয়ার আগেই এটি বিভিন্ন বিভিন্ন সার্ভারের মধ্য দিয়ে যায়। এর মধ্যে যে কোনও একটি দূষিত হতে পারে।

এসএসএল শংসাপত্রগুলি আপনাকে এক উপায়ে এনক্রিপশনে আপনার ডেটা এনক্রিপ্ট করার অনুমতি দেয় যা কেবলমাত্র আপনার সার্ভারে ডিক্রিপ্ট করা যেতে পারে। সুতরাং এটি আপনার সার্ভারে যাওয়ার পথে ডেটা হুপ করেই আসে না কেন, অন্য কেউ ডেটা পড়তে পারে না।

বেশিরভাগ ক্ষেত্রে এবং এটি আপনার হোস্টিংয়ের উপর নির্ভর করে, একটি শংসাপত্রের ইনস্টলেশনটি ব্যথাহীন is বেশিরভাগ সরবরাহকারী আপনার জন্য এটি ইনস্টল করবে।

এসএসএল সার্ট প্রকার

কিছু উত্তরে উল্লিখিত হিসাবে আপনি নিজের নিজস্ব এসএসএল শংসাপত্র তৈরি করতে পারেন। একটি SSL শংসাপত্র কেবল একটি সরকারী এবং ব্যক্তিগত কী জুড়ি। আপনার সার্ভার সর্বজনীন কী প্রদান করে, ক্লায়েন্টটি এটি প্রেরণ করা ডেটা এনক্রিপ্ট করতে ব্যবহার করে এবং কেবল আপনার সার্ভারের ব্যক্তিগত কী এটি ডিক্রিপ্ট করতে পারে। ওপেনএসএসএল আপনার নিজের তৈরি করার জন্য একটি ভাল সরঞ্জাম।

স্বাক্ষরিত এসএসএল শংসাপত্রগুলি

শংসাপত্র কর্তৃপক্ষের কাছ থেকে শংসাপত্র কেনা সুরক্ষা এবং বিশ্বাসের আরও একটি স্তর যুক্ত করে। আবার, এটি সম্ভব যে কেউ ক্লায়েন্ট ব্রাউজার এবং আপনার ওয়েব সার্ভারের মধ্যে বসতে পারেন। তাদের কেবল ক্লায়েন্টকে তাদের নিজস্ব পাবলিক কী দেওয়ার দরকার ছিল, তাদের ব্যক্তিগত কী দিয়ে তথ্যটি ডিক্রিপ্ট করুন, আপনার পাবলিক কী দিয়ে এটি পুনরায় এনক্রিপ্ট করুন এবং তা আপনাকে সরবরাহ করবেন এবং ব্যবহারকারী বা আপনিও জানেন না।

যখন কোনও স্বাক্ষরিত শংসাপত্র ব্যবহারকারীর দ্বারা গ্রহণ করা হয়, তাদের ব্রাউজার প্রমাণীকরণ সরবরাহকারীর সাথে যাচাই করবে (যাচাইকরণ, ইত্যাদি) যা তারা পেয়েছে যে পাবলিক কী আপনার ওয়েবসাইটের জন্য আসলে তা ছিল এবং এটিতে কোনও হস্তক্ষেপ করা হয়নি।

সুতরাং, হ্যাঁ আপনার সাইটের জন্য একটি স্বাক্ষরিত SSL শংসাপত্র থাকা উচিত। এটি আপনাকে আরও পেশাদার দেখায়, আপনার ব্যবহারকারীদের আপনার সাইট ব্যবহারে আরও বেশি মন দেয় এবং গুরুত্বপূর্ণভাবে আপনাকে ডেটা চুরির বিরুদ্ধে সুরক্ষা দেয়।

ম্যান ইন দ্য মিডল আক্রমণ সম্পর্কে আরও তথ্য যা এখানে ইস্যুটির মূল বিষয়। http://en.wikipedia.org/wiki/Man-in-the-middle_attack

পাসওয়ার্ডগুলি ব্যক্তিগত তথ্য হিসাবে বিবেচনা করা উচিত - স্পষ্টভাবে দেওয়া পাসওয়ার্ডের পুনরায় ব্যবহার, এটি সম্ভবত এসএসএন এর চেয়ে বেশি সংবেদনশীল।

এটি এবং আপনার বিবরণ দেওয়া, আমি অবাক হয়েছি কেন আপনি কেন কোনও পাসওয়ার্ড সংরক্ষণ করছেন ...

আমি ওপেনআইডি ব্যবহার করব এবং যদি আপনার নিজের লগইন করার প্রয়োজন বোধ হয় তবে তার জন্য একটি একক সাবডোমেইন তৈরি করুন এবং অন্য কোথাও ওপেনআইডি ব্যবহার করুন।

যদি আপনি ওপেনআইডি না করেন, আপনি এখনও একই লগইন ব্যবহার করতে পারেন ourআপনি ডোমেন প্যাটার্নটি ওয়াইল্ডকার্ড শংসাপত্রের প্রয়োজন থেকে বিরত রাখতে পারেন তবে আমি যেমন বলেছিলাম, আজকের বিশ্বের পাসওয়ার্ডগুলি এসএসএন / জন্মদিনের মতো কমপক্ষে সংবেদনশীল, এটি সংগ্রহ করবেন না আপনার যদি না হয়।

ট্রাস্টিকোর মাধ্যমে র‌্যাপিডএসএলটি কেবলমাত্র 30 ডলার বা আপনি একটি র‌্যাপিডএসএসএল ওয়াইল্ডকার্ড 160 ডলারেরও কম দামে পেতে পারেন - তাদের দামের গ্যারান্টিও রয়েছে, তাই যদি আপনি এটি সস্তা পান তবে তারা এটি মিলবে'll

আপনার যদি একটি অনন্য আইপি থাকে, আপনি সম্ভবত একটি শংসাপত্রও পাবেন, বিশেষত যদি আপনি এমন কোনও ডেটা ব্যবহার করেন যা দূর থেকে সংবেদনশীল। যেহেতু আপনি স্টার্টএসএল থেকে নিখরচায় বিশ্বস্ত শংসাপত্রগুলি পেতে পারেন , তাই না থাকার আসলে কারণ নেই।

একটি কিনতে বুদ্ধিমানের কাজ হবে। উল্লিখিত হিসাবে, এটি ALL about end user trustআপনার ওয়েবসাইটে।

so I'm hesitant to drop a couple of hundreds on a certificate - ভাল এটি ব্যয়বহুল নয় এবং আপনি $ 50 এর নিচে এক পেতে পারেন।

এসএসএল - আপনার সাইটটি সুরক্ষিত করা এবং আপনার সাইটের দর্শকদের কাছে একটি স্তরের আত্মবিশ্বাস যোগ করা সত্যই গুরুত্বপূর্ণ। লগইন প্রক্রিয়া সম্পর্কিত, OAuth ব্যবহার করবেন না কেন ? এই বৈশিষ্ট্যটি আপনার ওয়েবসাইটের জন্য নিবন্ধকরণে সময় কাটাতে ব্যবহারকারীদের ঝামেলা এড়াবে । ওয়েবসাইট ব্যবহারকারী ট্র্যাফিক সত্যই তা থেকে উপকৃত হবে। সিরিয়াসলি !, এটি গবেষণা করার জন্য কিছু সময় পান ।

সাধারণ এসএসএল প্রশ্ন সম্পর্কে একটি ভাল রেফারেন্স - এসএসএল শংসাপত্র সম্পর্কে সমস্ত

আমি লগইনের জন্য তৃতীয় পক্ষের সরবরাহকারী (যেমন ওপেনআইডি) ব্যবহার করার বিষয়েও ভাবব। বেশিরভাগ সিএমএস এটি ইতিমধ্যে সমর্থন করে।

একটি এসএসএলের ত্রুটি রয়েছে। এটি আপনার ওয়েবসাইটকে ধীর করে দেয়। সত্যিই।

লোকেরা যখন এসএসএল শংসাপত্রগুলি ব্যবহার করে কেবল তখনই যখন গ্রাহকদের অর্থ জড়িত থাকে।

আপনি যদি আপনার গ্রাহকদের অর্থ জড়িত না করে থাকেন তবে কোনও এসএসএল শংসাপত্র নেওয়ার সিদ্ধান্তটি নিখরচায় ব্যবসায়িক ভিত্তিক।

যদি আপনি আপনার গ্রাহকদের জন্য ব্যাকএন্ডে রয়েছেন তবে কোনও ওয়েবসাইটের সাথে কোনও অর্থ নেই, তবে তাদের নিশ্চিত হওয়া উচিত যে তারা সুরক্ষিত রয়েছে, তবে অবশ্যই একটি শংসাপত্র নিন। এটি আপনার গ্রাহকদের আস্থার জন্য বিনিয়োগ।

ওয়াইল্ডকার্ড এসএসএল শংসাপত্রে কিছু অর্থ ফেলে দেওয়া সেরা বিকল্প হতে পারে, নাও পারে। ক্যাডির ওয়েব সার্ভারটি একবার দেখুন: https://caddyserver.com/ । এটিতে অনেকগুলি দুর্দান্ত বৈশিষ্ট্য রয়েছে, যা লেটস এনক্রিপ্টের থেকে বিনামূল্যে শংসাপত্রগুলি দখল করার জন্য বিশেষত নির্মিত। আপনি কেবল তার কনফিগার ফাইলে আপনার সমস্ত ডোমেন নির্দিষ্ট করতে পারেন এবং এটি তাদের জন্য শংসাপত্র দখল করবে। অন্য সত্যিই দুর্দান্ত বৈশিষ্ট্যটি হ'ল অন ডিমান্ড টিএলএস। আপনি যদি এটি সক্ষম করে থাকেন, যখনই এটি কোনও নতুন ডোমেনের জন্য একটি অনুরোধ পেয়ে থাকে তবে এর জন্য কোনও শংসাপত্র নেই, এটি প্রাথমিক টিএলএস হ্যান্ডশেকের সময় একটি ধরে ফেলে। এর অর্থ আপনার আক্ষরিক সহস্রাধিক ডোমেন থাকতে পারে এবং প্রতিটি ক্যাডি কনফিগারেশনে প্রতিটি স্বতন্ত্র কনফিগার করতে হবে না।

দ্রষ্টব্য: আমার উত্সাহটি যতটুকু মনে হতে পারে, আমি ক্যাডির সাথে কোনওভাবেই তার আকারের বা রূপের সাথে সম্পৃক্ত নই their

এটি ব্যবহারকারীদের জন্য সমস্ত, তারা কোনও ধরণের সুরক্ষা সরবরাহ করে না, শংসাপত্রগুলি কেবল বিক্রির পণ্য।

আপনি এটি একবার দেখে নিতে পারেন

http://en.wikipedia.org/wiki/Comparison_of_SSL_certificates_for_web_servers