স্ব-স্বাক্ষরিত ওয়াইল্ডকার্ড শংসাপত্র

আমি পাইহোল ঘরে বসিয়েছি, তাই কোনও "ওয়েবসাইটটি অবরুদ্ধ করা হয়েছে" পৃষ্ঠাটি দেখানোর জন্য আমি নিজের সার্ভারের সাথে কোনও ওয়েবসাইটের জন্য অনুরোধগুলি পরিচালনা করতে সক্ষম হতে চাই।

আমি কোনও url- এর জন্য স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করে এবং এটি আমার ডিভাইসে ইনস্টল করে এটি করার চেষ্টা করছি। শংসাপত্র তৈরি করতে আমি যে আদেশগুলি ব্যবহার করেছি তা:

openssl genrsa 2048 > pihole.key
openssl req -new -x509 -nodes -days 36500\
    -key pihole.key \
    -subj "/C=NL/ST=Utrecht, Inc./CN=*" \
    -reqexts SAN \
    -config <(cat /etc/ssl/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:*,DNS:*")) \
    -out pihole.cert
openssl x509 -noout -fingerprint -text < pihole.cert > pihole.info
cat pihole.cert pihole.info > pihole.pem
service apache2 reload

আমি এই উইন্ডোজ ডিভাইসে এই শংসাপত্রটি ইনস্টল করেছি এবং উইন্ডোজ দেখায় যে এটি একটি বৈধ শংসাপত্র।

যাইহোক, ক্রোম আমাকে একটি দেয় NET::ERR_CERT_COMMON_NAME_INVALIDএবং প্রান্তটি আমাকে অনুরূপ ত্রুটি দেয় ( DLG_FLAGS_SEC_CERT_CN_INVALID)

কেন? হয় CN = *শুধু মঞ্জুরিপ্রাপ্ত নয়? আমি যা চাই তা কীভাবে অর্জন করতে পারি?

এটা অনুমোদিত নয়. স্ট্যান্ডার্ড টিএলএস হোস্টনেম বৈধতার প্রোটোকল-নির্দিষ্ট সংযোজন হিসাবে, সমস্ত বড় ওয়েব ব্রাউজারগুলি (এইচটিটিপিএস ক্লায়েন্ট) মূলত "ইটিএলডি + 1" এর জন্য ওয়াইল্ডকার্ড শংসাপত্রকে সীমাবদ্ধ করতে সম্মত হয়েছে - এটি হ'ল একটি "কার্যকর টিএলডি" প্লাস আরও একটি নয় -ওয়াল্ডকার্ড উপাদান।

সাধারণত এটি কমপক্ষে দুটি উপাদান প্রয়োজনীয় ( *.example.netযা ঠিক আছে তবে *.netতা নয়, উভয়ই খালি নয় *) হিসাবে অনুবাদ করে। "কার্যকর টিএলডি" বিধিটি বহু-স্তরের প্রত্যয়গুলিতে প্রসারিত করে যেহেতু co.ukমানুষ অনুশীলনে "অবিভাজ্য" টিএলডি "হিসাবে ব্যবহার করে। (তাই *.example.ac.ukঅনুমোদিত তবে *.ac.ukতা নয়))

আপনি ক্রোমিয়াম এবং মজিলায় কীভাবে সর্বজনীন প্রত্যয় তালিকাটি প্রয়োগ করা হয় তা পরিদর্শন করতে পারেন ।

সিকিউরিটি.এস.এ সম্পর্কিত আলোচনা দেখুন যা সিএ-ব্রাউজার ফোরামের বেসলাইন প্রয়োজনীয়তার একটি উদ্ধৃতি রয়েছে (যা কেবল সর্বজনীন ওয়েবপিকেআই সিএগুলিতে প্রযোজ্য, তবে এখনও সাধারণ প্রয়োগটি প্রতিফলিত করে):

সিএগুলি এমন কোনও শংসাপত্র প্রত্যাহার করতে পারে যেখানে "রেজিস্ট্রি নিয়ন্ত্রিত" লেবেল বা "পাবলিক প্রত্যয়" এর বামে তত্ক্ষণাত ওয়াইল্ডকার্ড চরিত্রটি প্রথম লেবেল অবস্থানে উপস্থিত হয় occurs

এই সীমাবদ্ধতা এড়াতে, এমন কোনও শংসাপত্র কর্তৃপক্ষ তৈরি করুন যা আপনি যে ওয়েবসাইটটিতে দেখার চেষ্টা করেন তার জন্য "দাবিতে" শংসাপত্র জারি করে। আমি জানি না যে এটি কোনও নিয়মিত ওয়েব সার্ভারে কীভাবে কার্যকর করা হবে, তবে এটি বাণিজ্যিক টিএলএস ইন্টারসেপশন সিস্টেম দ্বারা ব্যবহৃত একটি সাধারণ পদ্ধতি; অ্যান্টিভাইরাস প্রোগ্রাম এবং অন্যান্য ম্যালওয়্যার; এবং বুরুপ প্রক্সি স্যুটের মতো বিকাশ সরঞ্জাম।

উদাহরণস্বরূপ, ওপেনস্ট্রি ওয়েব সার্ভারে (মূলত লুঙ্গা-সহ লুঙ্গিয়া) গতিশীল শংসাপত্র জেনারেশন প্রয়োগের একটি ssl_certificate_by_luaবিকল্প রয়েছে । স্কুইড প্রক্সিটি তার এসএসএল-বাম্প বৈশিষ্ট্যটিতে শংসাপত্রের নকল করতে সহায়তা করে।

এছাড়াও লক্ষ করুন যে সানরা উভয় উপস্থিত থাকলে সাবজেক্ট- সিএনকে সম্পূর্ণরূপে ওভাররাইড করে। এটি বেশিরভাগ সিএন অন্তর্ভুক্ত করে তোলে (যদি না আপনার ক্লায়েন্ট সফ্টওয়্যারটি এত প্রাচীন না হয় তবে এতে স্যান সমর্থন নেই), এবং পাবলিক সিএএস জন্য ওয়েব ব্রাউজারগুলি এটিকে আর গ্রহণ করে না।

একটি শংসাপত্রে কেবলমাত্র একক ওয়াইল্ডকার্ড থাকতে পারে (অর্থাত্ না *.*.example.com) এটি কেবল একটি একক লেবেলের সাথে মেলে (যেমন কেবল www, নয় www.example.com), এটি কেবল বাম দিকের অবস্থানে থাকতে পারে (অর্থাত্ *.www.example.comনয় তবে www.*.example.com) এবং এটি পাবলিক প্রত্যয়টির অভ্যন্তরে থাকতে পারে না (যেমন না *.com)