কোনও স্বাক্ষরবিহীন এসএসএল সার্টের কোনও এসএসএল শংসাপত্রের চেয়ে খারাপ আচরণ কেন করা হয়?


19

আমি যদি এমন কোনও সাইট দেখি যেখানে স্বাক্ষরযুক্ত বা স্ব-স্বাক্ষরিত SSL সার্টিফিকেট থাকে তবে আমার ব্রাউজারটি আমাকে একটি সতর্কতা দেয়। তবুও একই ব্রাউজারটিতে অনিরাপদ পৃষ্ঠাগুলিতে শংসাপত্রগুলি প্রেরণে অনুমতি দেওয়া কোন সমস্যা নেই।

স্ব-স্বাক্ষরিত শংসাপত্রের শংসাপত্র না থাকার চেয়ে কেন খারাপ আচরণ করা হয়?

উত্তর:


16

এমন প্রচুর লোক রয়েছে যা অনুভব করে যে এই সিস্টেমটি ভেঙে গেছে।

কোনও এসএসএল শংসাপত্র অবৈধ হলে আপনার ব্রাউজারটি কেন আপনাকে এমন উদ্বেগজনক সতর্কতা দেবে তার পিছনে যুক্তি এখানে রয়েছে:

এসএসএল অবকাঠামোর মূল নকশা উদ্দেশ্যগুলির মধ্যে একটি ছিল ওয়েব সার্ভারগুলির প্রমাণীকরণ সরবরাহ করা। মূলত, আপনি www.bank.com এ যান, এসএসএল ওয়েবসারভারকে এটি প্রমাণ করার জন্য অনুমতি দেয় যে এটি আসলে আপনার ব্যাংকের অন্তর্ভুক্ত। এটি ডিএনএস নিয়ে চালিত হওয়া বা দূষিত সার্ভারের প্রতিক্রিয়া জানাতে অন্য কোনও পদ্ধতি ব্যবহার করে কোনও প্রতিরোধকারীকে থামায়।

এসএসএলে "ট্রাস্ট" কোনও বিশ্বস্ত তৃতীয় পক্ষের দ্বারা সরবরাহ করা হয় (ভেরি সিগন এবং থাওতে পরামর্শের মতো সংস্থাগুলি) শংসাপত্রটিতে স্বাক্ষর করে, যা নির্দেশ করে যে তারা এটির মালিকানাধীন এটি যা বলেছে এটি (তাত্ত্বিকভাবে আইটি প্রশাসকের সাথে দেখা করে ব্যক্তি বা অন্য কোনও পদ্ধতি যা প্রত্যক্ষ আস্থা তৈরি করে, যদিও প্রমাণগুলি দেখায় যে তারা আসলে এটি সম্পর্কে বরং শিথিল - একটি স্বাক্ষরিত এসএসএল সার্ট পেতে যে সমস্ত কিছুই লাগে এটি প্রায়শই একটি 800 নম্বর এবং অভিনয় দক্ষতার একটি অংশ)।

সুতরাং, যদি আপনি কোনও ওয়েব সার্ভারের সাথে সংযোগ স্থাপন করেন যা কোনও এসএসএল শংসাপত্র সরবরাহ করে তবে এটি কোনও বিশ্বস্ত তৃতীয় পক্ষের দ্বারা স্বাক্ষরিত নয়, তাত্ত্বিকভাবে এর অর্থ এই হতে পারে যে আপনি কোনও ইমপোস্টারের সাথে যোগাযোগ করছেন যা কোনও ভিন্ন প্রতিষ্ঠানের সাথে সম্পর্কিত সার্ভার বলে ভান করছে with ।


অনুশীলনে, একটি স্ব-স্বাক্ষরিত শংসাপত্রের সাধারণত অর্থ হ'ল যে সংস্থাটি সার্ভারটি চালাচ্ছে তারা স্বাক্ষরিত শংসাপত্রের জন্য অর্থ প্রদান না করা বেছে নিয়েছে (তারা যে বৈশিষ্ট্যগুলির উপর নির্ভর করে তারা বেশ ব্যয়বহুল হতে পারে), বা একটি কনফিগার করার জন্য প্রযুক্তিগত দক্ষতার অভাব রয়েছে ( কিছু ছোট ব্যবসায়ের সমাধানগুলি স্ব-স্বাক্ষরিত শংসাপত্রের জন্য এক-ক্লিকের প্রক্রিয়া সরবরাহ করে তবে বিশ্বস্ত শংসাপত্র পাওয়ার জন্য আরও প্রযুক্তিগত পদক্ষেপ প্রয়োজন)।

আমি ব্যক্তিগতভাবে বিশ্বাস করি যে এই সিস্টেমটি নষ্ট হয়ে গেছে এবং কোনও স্বীকৃত শংসাপত্রের সাথে এসএসএল সরবরাহকারী একটি সার্ভারের সাথে যোগাযোগ করার চেয়ে কোনও এনক্রিপশন সরবরাহ না করে এমন একটি সার্ভারের সাথে যোগাযোগ করা আরও বিপজ্জনক। ব্রাউজারগুলি এই জাতীয় আচরণ না করার জন্য তিনটি কারণ রয়েছে:

  1. এনক্রিপ্ট করা যোগাযোগগুলি ইন্টারনেটে আদর্শ, সুতরাং ব্রাউজারগুলি যদি কোনও এনক্রিপশন সরবরাহ না করে এমন ওয়েবসাইটগুলি দেখার জন্য আপনাকে একটি সতর্কতার মাধ্যমে ক্লিক করে তোলে, আপনি দ্রুত বিরক্ত হয়ে সতর্কতাটি নিষ্ক্রিয় করতে পারবেন।
  2. ক্লায়েন্টদের কাছে ভীতিজনক সতর্কতার কারণে, একটি উত্পাদন ওয়েবসাইটে স্ব-স্বাক্ষরিত সার্টিটি দেখতে অস্বাভাবিক। এটি একটি স্ব-স্থায়ী ব্যবস্থা প্রতিষ্ঠা করে: স্ব-স্বাক্ষরিত শংসাপত্রগুলি সন্দেহজনক কারণ তারা বিরল, তারা বিরল কারণ তারা সন্দেহজনক।
  3. এটি আমার কাছে চটজলদি শব্দ, তবে এমন সংস্থাগুলি রয়েছে যারা এসএসএল শংসাপত্রগুলি ( কাশি ভেরিজাইন কাশি ) সাইন ইন করে প্রচুর অর্থোপার্জন করে , তাই তারা হোয়াইটপেপারস (একটি আইটি শব্দটির অর্থ "দীর্ঘ এবং বিরক্তিকর বিজ্ঞাপন") এবং অন্যান্য প্রকাশনা ব্যবহার করে স্বাক্ষরবিহীন শংসাপত্রগুলি বিপজ্জনক যে ধারণাটি কার্যকর করতে।

5
বিশ্বাসের শৃঙ্খলা ব্যতীত, যা আপনি সিএ স্বাক্ষরিত শংসাপত্রের সাথে পেয়ে যাচ্ছেন এবং স্ব-স্বাক্ষরিত নয় তা যাচাই করার কোনও উপায় নেই যে আপনি যে সার্ভারের সাথে সংযোগ করছেন সেটি কে তা বলেছে। স্ব-স্বাক্ষরিত শংসাপত্রগুলি এই অর্থে বিপজ্জনক যে তারা কোনও ডেটা প্রেরণ করছে যে ডেটা যে গন্তব্যে পৌঁছেছে তা তারা যে গন্তব্যস্থলে পৌঁছেছে তা যাচাই করার জন্য তারা কোনও উপায় সরবরাহ করে না। সুরক্ষিত লেনদেন করার সময় লোকেরা "https" সন্ধান করতে শিখতে শুরু করেছে, তাই কোনও অবৈধ বা স্ব-স্বাক্ষরিত শংসাপত্র সম্পর্কে একটি বড় সতর্কতা থাকা 100% নিশ্চিত, কারণ তারা এসএসএলের অন্যতম প্রধান সুবিধা হারাচ্ছে।
MDMarra

আমি 'ভাঙ্গা' বলব না। আমি মনে করি যে ফায়ারফক্স শংসাপত্রের পেট্রল অ্যাড-অন ডিফল্টর চেয়ে শংসাপত্রগুলির সঠিক বাস্তবায়ন এবং বিশ্বাসের পরিচালনার অনেক কাছাকাছি। তবুও, ডিফল্টটি পুরোপুরি বিশ্বাস নেটওয়ার্কগুলি উপেক্ষা করার চেয়ে ভাল।
স্লারিটিবার্টফাস্ট

4
@ মারকএম - আমার অনুভূতি হ'ল প্রমাণীকরণকে এসএসএলের প্রধান সুবিধা হিসাবে বিবেচনা করা উচিত নয়। আমার ব্যাকআপ নেওয়ার জন্য আমার কাছে ডেটা নেই, তবে আমি মনে করি যে এনক্রিপ্ট করা সংযোগের উপর স্থানান্তরিত ডেটা থেকে আরও অনেক বেশি সুরক্ষা ঘটনা ঘটে (উদাহরণস্বরূপ, ফেসবুক সুরক্ষা প্রকৌশলের যিনি পাসওয়ার্ড চুরি করেছিলেন - তারা একটি ওয়াইফাই নেটওয়ার্কের পাসওয়ার্ডটি ছিনিয়ে নিল) , যেহেতু ফেসবুক লগইন এনক্রিপ্ট করা হয়নি) এমআইটিএম বা ইমপোস্টার আক্রমণগুলির চেয়ে, যা তুলনামূলকভাবে অনেক বেশি জটিল complicated এসএসএলে এনক্রিপশন সম্পর্কিত প্রমাণীকরণের উপর ফোকাস হ'ল, আমি উল্লেখ করেছি যে, এই পরিস্থিতিটি কী তৈরি করে তা স্পষ্টভাবে।
jcrawfordor

1
@ মারকএম - অবশ্যই সেখানে ওভারহেড রয়েছে যা বৈধ উদ্বেগের বিষয়, স্বাক্ষরবিহীন শংসাপত্রের ব্যবহার সিএ-তে কোনও চাপ ফেলবে না, বিশেষত কারণ একটি সিএ স্ব-স্বাক্ষরিত শংসাপত্রের জন্য ব্যবহৃত হবে না। এছাড়াও, পর্যাপ্ত শক্তি সম্পন্ন সংস্থাগুলির জন্য এটি উদ্বেগের বিষয় নয় - বিবেচনা করুন যে গুগল এখন জিমেইল এবং কিছু অন্যান্য পরিষেবার জন্য https এ ডিফল্ট। আমি আপনার বিষয়টি বুঝতে পারি যে প্রমাণীকরণ ব্যতীত এসএসএলের কার্যকারিতা হ্রাস পায়। বর্তমান মডেলটি ভালভাবে ডিজাইন করা হয়নি। আমাদের সত্যই যা প্রয়োজন তা হ'ল একটি স্ট্যান্ডার্ড এনক্রিপ্টড প্রোটোকল এবং আরও সুরক্ষিত ব্যবহারের জন্য একটি প্রমাণীকরণযোগ্য প্রোটোকল।
nhinkle

5
আমার বক্তব্যটির বৃহত্তর তাত্পর্য এবং এনআরহিনকল সরাসরি এটি বলেছিল, এটি হ'ল আমাদের পৃথক লক্ষ্য হতে এনক্রিপশন এবং প্রমাণীকরণ বিবেচনা করা শুরু করা উচিত এবং সেগুলি আলাদাভাবে অর্জন করার অনুমতি দেওয়া হয়েছিল। এই মুহূর্তে এসএসএল সিস্টেমের সাথে এটি মৌলিক ত্রুটিগুলি: 1) আমরা এনক্রিপশন এবং প্রমাণীকরণটিকে অবিচ্ছিন্নভাবে সংযুক্ত হিসাবে দেখছি - একটি অর্জনের জন্য, আপনাকে অবশ্যই অন্যটি অর্জন করতে হবে। শুধুমাত্র একটি সরবরাহ করা সন্দেহজনক। 2) প্রামাণিক সিএ এর একটি সীমিত সংখ্যক থেকে প্রমাণীকরণ অবশ্যই গ্রহণ করতে হবে। সাধারণভাবে, সিএগুলি হয় খুব ব্যয়বহুল (ভেরিসাইন ইত্যাদি) বা খুব ছায়াময় (নেমচেফ ইত্যাদি)
jcrawfordor

6

পৃষ্ঠা থেকে পৃষ্ঠায় শংসাপত্র প্রেরণ মূলত HTTP পোস্ট করে doing শংসাপত্রগুলি প্রেরণের সাথে তুলনা করার মতো বিশেষ কিছু নেই eg

সুরক্ষিত চ্যানেল ব্যবহার ট্রান্সফারটি সুরক্ষিত করার জন্য প্রোগ্রামারের অভিপ্রায় নির্দেশ করে। এই ক্ষেত্রে, স্ব-স্বাক্ষরিত শংসাপত্রের সতর্কতা ব্যবহার করা খুব সঠিক জিনিস।


আমার পক্ষে যথেষ্ট ভাল
dag729

বস্তুত হিসেবে আমি যে প্রত্যাহার নেটস্কেপ ন্যাভিগেটর অন্তত পুরানো সংস্করণ এ করেনি যে এনক্রিপ্ট না পোস্টের জন্য একটি সতর্কবার্তা পপ আপ। অবশ্যই, পাঁচ মিনিটের পরে সবাই এগুলিকে অক্ষম করেছিল, তাই আমি অনুমান করি যে কেন তারা এটিকে বাইরে নিয়েছে ...
sleske

4

আমি মন্তব্য করতে পারি না, তাই আমি এই তথ্যটি পোস্ট করব যা ব্যবহারকারীর 40350 এর সঠিক তথ্য পরিপূরক করে।

তবুও একই ব্রাউজারটিতে অনিরাপদ পৃষ্ঠাগুলিতে শংসাপত্রগুলি প্রেরণে অনুমতি দেওয়া কোন সমস্যা নেই।

এটি আসলে সত্যও নয়। বেশিরভাগ ব্রাউজারগুলি একটি সতর্কতা দেখাবে যেমন আপনি প্রথমবার চেষ্টা করার পরে কোনও অনিরাপদ সংযোগের উপর ডেটা জমা দিতে চলেছেন তবে আপনি এটি বন্ধ করতে পারেন যাতে এটি আর কখনও দেখাবে না, এবং আমি বাজি ধরে দেখি যে আপনি ঠিক তাই করেছেন ...

মিরো এ লিখেছেন:

পৃষ্ঠা থেকে পৃষ্ঠায় শংসাপত্র প্রেরণ মূলত HTTP পোস্ট করে doing শংসাপত্রগুলি প্রেরণের সাথে তুলনা করে যেমন পোষ্টের মাধ্যমে অনুসন্ধানের পদগুলি প্রেরণের বিষয়ে বিশেষ কিছু নেই

উদাহরণস্বরূপ পাসওয়ার্ড ক্ষেত্রগুলি বিশেষ এইচটিএমএল ট্যাগ হওয়ায় এটিও ভুল। সর্বোপরি "ব্যবহারকারী নাম" এবং "পাসওয়ার্ড" এর মতো লেবেলগুলিও তাদের সংবেদনশীলতার অনেকটা বিশ্বাসঘাতকতা করে। ব্রাউজারগুলির জন্য এই ধরণের তথ্য বিবেচনায় নেওয়া পুরোপুরি সম্ভব হবে।


3

Https: // প্রোটোকল দ্বারা সুরক্ষিত সংযোগগুলি ব্রাউজার দ্বারা "সুরক্ষিত" হওয়ার নির্দেশিত হয়। উদাহরণস্বরূপ, একটি সামান্য প্যাডলক প্রদর্শিত হবে বা URL এর কিছু অংশ সবুজ হিসাবে চিহ্নিত আছে।

ব্যবহারকারীকে তাই বিশ্বাস করা উচিত যে তিনি যে পৃষ্ঠাগুলি পরিদর্শন করছেন সেটি প্রকৃতপক্ষে তাঁর প্রবেশ করা URL টি থেকে এবং অন্য কারও নয় someone

যদি তিনি https: // ব্যবহার করেন না তবে ব্যবহারকারীর জানা থাকার কথা, প্রবেশ করা ডেটা সুরক্ষিত নয় এবং তিনি যে সাইটটিতে সার্ফ করছেন সেটিকে চাপানো হতে পারে।

স্ব স্বাক্ষরিত শংসাপত্রটি নিশ্চিত করে না - পুনরায় প্রত্যাশা করে, যে পৃষ্ঠায় সার্ফ করা হয়েছে তা চাপানো হয়নি, অতএব এটি কোনও অতিরিক্ত সুরক্ষা দেয় না।


1

একটি বিশ্বস্ত (আপনার বিশ্বাসের কর্তৃপক্ষের দ্বারা স্বাক্ষরিত) এবং অবিশ্বস্ত শংসাপত্রের মধ্যে একটি পার্থক্য তৈরি করতে হবে। অন্যথায় কেউ আপেক্ষিক দায়মুক্তি সহ একটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করে আপনার ব্যাঙ্কটি ছদ্মবেশ তৈরি করতে পারে (উদাহরণস্বরূপ)।

আপনার মুখের মধ্যে একটি সতর্কতা এই ক্ষেত্রে একটি সূক্ষ্ম একটি চেয়ে ভাল কারণ সম্ভাব্য ঝুঁকি তুলনামূলকভাবে বেশি। লোকেরা একটি https লিঙ্কে ক্লিক করতে পারে এবং এমনকি এমনও ভাবতে পারে না যে কেউ মাঝখানে বসে কানেকশনটি পর্যবেক্ষণ করছে। শংসাপত্রটি অবিশ্বস্ত হওয়ার ইঙ্গিতটি যদি সূক্ষ্ম হয় (সবুজ আইকনের পরিবর্তে একটি লাল বলুন ইত্যাদি), তবে লোকেরা সহজেই বোকা বানাতে পারে এবং এসএসএলের সুবিধাগুলি সরিয়ে দেয়।


আপনার যদি ব্যবহারকারীর কম্পিউটারে অ্যাক্সেস থাকে এবং তাদের শংসাপত্রগুলি সংশোধন করে তবে কী কোনও ব্যাংক ছদ্মবেশ তৈরি করা সহজ নয়? যদি ব্যবহারকারীর কম্পিউটার পরিবর্তন না করা হয়, তবে ওয়েব ব্রাউজার ওয়েব ব্যাংকটির URL টি তারা ব্যাঙ্ক বলে দাবি করতে সংশোধন করতে সক্ষম হবে না; এবং যদি তারা খুব অনুরূপ ইউআরএল পান তবে তারা এখনও সেই ওয়েবসাইটটির জন্য একটি শংসাপত্র পেতে পারেন এবং ব্যবহারকারীরা ওয়েবপেজটি স্বাক্ষর করেছেন সেদিকে খেয়াল রাখে না, তারা কেবল এটি https দেখতে পাবে এবং আশা করি তারা URL টি নয় তাদের ব্যাঙ্কের ইউআরএল ...
দিমিত্রি

এসএসএলের সুবিধাটি বিশ্বাস করা যায় না যে ওয়েবসাইটটি আপনার নিজেরাই মনে করেন তারা (এটি তত্ক্ষণাত অসম্ভব যেহেতু একটি তৃতীয় পক্ষের অ্যাপ্লিকেশন আপনার শংসাপত্রগুলি পরিবর্তন করতে পারে, বা ব্যাংক হ্যাক করতে পারে); বরং বিশ্বাস করুন যে আপনার এবং যে কেউ সাইটের মধ্যে যে যোগাযোগ হয় তা কেবলমাত্র আপনার দুজনের মধ্যেই রয়েছে এবং অন্য কেউই এই যোগাযোগটি অনুধাবন করতে পারে না। শংসাপত্র না থাকা স্ব স্ব স্বাক্ষরযুক্ত হওয়ার চেয়ে খারাপ কারণ আপনি কার সাথে কথা বলছেন তা বিবেচনাধীন নয়, গুরুত্বপূর্ণ বিষয়টি হ'ল আপনি যা বলছেন তা অন্য কারও পক্ষে বাধা দেওয়া উচিত নয়।
দিমিত্রি

একজন ব্যবহারকারী হিসাবে, আমি কি সত্যই জানি যে ভেরিজিাইন কে এবং কেন তাদের আমার বিশ্বাস করা উচিত? শংসাপত্র মালিকদের কাছে যে তথ্য আপনি প্রেরণ করেছেন সেগুলি অপব্যবহারের জন্য দায়বদ্ধদের চেয়ে শংসাপত্র বিক্রির ক্ষেত্রে কি তাদের আগ্রহ বেশি নয়?
দিমিত্রি

0

অনেক ভাল কারণ তালিকাভুক্ত করা হয়েছে। এখানে আরও একটি:

একটি সুরক্ষিত ওয়েব পৃষ্ঠা অন্যের থেকে উপাদানগুলিকে এম্বেড করে এমন ক্ষেত্রে চিন্তা করুন। আক্রমণকারী বাইরের ওয়েব পৃষ্ঠার জন্য কোন অনুরোধগুলি সনাক্ত করতে পারে (টাইমিং দেখে বলুন, এটি আগে আসতে হবে) এবং যা অভ্যন্তরীণ উপাদানগুলির জন্য। তিনি কেবলমাত্র অভ্যন্তরীণ উপাদানগুলিতে নিজেকে এমআইটিএম হিসাবে ইনজেকশন করতে পারেন, স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করতে পারেন এবং পৃষ্ঠার অংশগুলি নিয়ন্ত্রণ করতে পারেন। এসএসএল ব্যবহার করে কিন্তু বিশ্বস্ত শংসাপত্র ব্যবহার না করে অভ্যন্তরীণ উপাদানগুলির জন্য সতর্কতা উপস্থাপন না করা হলে বাইরের পৃষ্ঠার সুরক্ষার সাথে আপস করা হবে।

এখানে একটি বাস্তব উদাহরণ। বলুন যে আমি একজন বিক্রেতা এবং আমার একটি 'পেপাল সহ পে' লিঙ্ক রয়েছে। আপনি এটি ক্লিক করুন, এবং আমি জানি। আমি আপনাকে পেপ্যাল ​​এ পুনঃনির্দেশ করি এবং আপনাকে বৈধ, সুরক্ষিত পেপাল পৃষ্ঠাটি পেতে দেব। আমি যদি আপনার নেটওয়ার্কটি দেখছি, আমি জানি পেপাল থেকে এটিই আপনার প্রথম অনুরোধ হবে এবং এর পরেই আপনি নিজের পাসওয়ার্ড জমা দেবেন submit সুতরাং আমি পেইপালের জন্য submitআমার স্বাক্ষরিত শংসাপত্রটি স্থাপন করে আপনার ইমেল ঠিকানা এবং পাসওয়ার্ড সহ এমআইটিএম করছি ।

আপনি যদি দেখেন যে অভ্যন্তরীণ পৃষ্ঠার শংসাপত্রটি স্বাক্ষরিত হয় তবে সতর্কতা না দিয়ে বাইরের পৃষ্ঠার সুরক্ষাটি কীভাবে আপস করা হয়? সুতরাং এটি অবশ্যই স্ব-স্বাক্ষরিত শংসাপত্রগুলিতে সতর্ক করতে হবে যা লিঙ্কগুলি থেকে আসে।

এবং অবশ্যই আপনি যদি httpsম্যানুয়ালি প্রবেশ করেন তবে এটি আপনাকে অবশ্যই সতর্ক করবে। কারণ আপনি এটি সুরক্ষিত হওয়ার প্রত্যাশা করছেন।


-1

মধ্য আক্রমণের মানুষটি যখন https: // ওয়েবসাইটে কার্যকর করা হয় তখন সতর্কতাটি কেবলমাত্র গড় ব্যবহারকারীর পক্ষে কিছু ভুল হওয়ার ইঙ্গিত দেয় । সুতরাং এটি এইচটিপিএস সুরক্ষার খুব গুরুত্বপূর্ণ অংশ।

ভাল প্রশ্ন হ'ল কেন আংশিক অনিরাপদ এনক্রিপশন এইচটিটিপি-র উপরে সম্ভাব্য উদাহরণ নয়।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.