ওয়েব ব্রাউজারগুলি কি এসএসএল শংসাপত্রগুলি ক্যাশে করে?


26

কোনও ওয়েব ব্রাউজার কি এসএসএল সার্ভার শংসাপত্রগুলি ক্যাশে করে? উদাহরণস্বরূপ, আমি যদি কোনও ওয়েব সার্ভারে এসএসএল শংসাপত্র পরিবর্তন করি তবে ওয়েব ব্রাউজারগুলির সমস্ত কি এসএসএল-এর মাধ্যমে সংযোগ স্থাপনের সময় নতুন শংসাপত্রটি গ্রহণ করবে, বা এগুলি কি সম্ভব যে তাদের বাসি শংসাপত্র থাকতে পারে?

আমি যখন কোনও এসএসএল শংসাপত্রের মেয়াদ শেষ হয়ে যায় এবং ওয়েব সার্ভারে একটি নতুন দ্বারা প্রতিস্থাপিত হয় তখন আমি সেই দৃশ্যের কথা ভাবছি।


আমি ব্রাউজারটি সার্টের তারিখটি যাচাই করে নেওয়ার জন্য এটি নতুন কিছুর দরকার আছে কিনা তা যাচাই করে নেব, যেমন এটি অন্য সব কিছুর জন্য করে তবে নিশ্চিত না।
soandos

এখানে একটি চেহারা আছে imperialviolet.org/2011/05/04/pinning.html "শংসাপত্র পিন" সম্পর্কে এবং HSTS উদ্যোগ whis সাবেক সঙ্গে সম্পর্কযুক্ত এ dev.chromium.org/sts
Shadok

1
2019 পর্যন্ত আমার ক্রোম 75 এসএসএল শংসাপত্রগুলি
ক্যাচ করছে

উত্তর:


10

ঠিক আছে, রেডগ্রিটিব্রিকের উত্তর সঠিক, তবে সত্যই প্রশ্নের উত্তর দিচ্ছে না। প্রশ্নটি ছিল, ব্রাউজারগুলি যদি এটি করে, তাদের করা বা করা দরকার ছিল কিনা তা নয়।

আমি যা শুনেছি তা থেকে, এমএসআইই এবং ক্রোম উভয়ই ক্যাশে শংসাপত্রগুলি করে এবং পুরানোটির বৈধতা অবধি তারা কোনও নতুন সংস্করণ পেলে এগুলি প্রতিস্থাপন করবেন না। তারা কেন এটি করে তা আমার বোঝার জন্য নয়, কারণ এটি সুরক্ষা হ্রাস করে।


বর্তমানে গৃহীত উত্তরটি বেশ পরিষ্কার। এটি বিশেষভাবে নির্দেশ করে যে, না , ব্রাউজারগুলি শংসাপত্রগুলি ক্যাশে করে না। আপনি ল্যান্ডস্কেপ পরিবর্তিত হিসাবে উল্লেখ করেছেন, ক্রম যে কারণগুলির সাথে ডকুমেন্টেড রয়েছে, সেই কারণগুলির সাথে লিঙ্ক করা আপনার পক্ষে ভাল হবে। শংসাপত্রটি এখনও বৈধ তাই এটি যে সুরক্ষাটি বোঝায় না তা "কম" করে না।
রামহাউন্ড

3
এটি এটিকে হ্রাস করে, কারণ আপনি কোনও পুরানো SHA-1 কীটিকে নতুন দিয়ে প্রতিস্থাপন করতে পারবেন না, কারণ পুরানোটি এখনও বৈধ এবং ক্রোম নতুনটিকে উপেক্ষা করে, যদি আমি সবকিছু ঠিকঠাক বুঝতে পারি। সুতরাং উচ্চতর নিরাপত্তা স্ট্যান্ডার্ডে পরিবর্তন আনার কোনও উপায় নেই - সুতরাং এটি আপাতত উচ্চতর দিকে ঠেলাঠেলি না করে "হ্রাস" করে। যেমন মুদ্রাস্ফীতি আপনার অর্থের নির্ধারিত মান হ্রাস করে না, তবে এর আসল বাজার মূল্য।
মঙ্গলবার 6:48

5
+1 স্টার্টএসএল মিশ্রিত SHA1 / SHA2 চেইন ফিয়াস্কোর পরে , এটি স্পষ্ট যে উইন্ডোজের ক্রোম প্রকৃতপক্ষে অন্তর্বর্তী সার্টগুলি সম্ভবত অনির্দিষ্টকালের জন্য ক্যাশে করছে। ক্রোম সার্ভারের মাধ্যমে প্রেরিত কোনও নতুন মধ্যবর্তী সার্ট উপেক্ষা করবে। সার্ভার সার্টের পরিচয় বা ইন্টারমিডিয়েট সার্টের পরিচয় এবং এই পরিচয়টি ঠিক কী গঠন করে তা ক্যাচিংয়ের কীড কিনা তা পরিষ্কার নয়।
রবার্ট ভান

3
আজ ইস্যুটি চাপুন, ক্রোম এবং ফায়ারফক্স উভয়ই সাধারণ উইন্ডোতে (পুরানো শংসাপত্র) এবং ছদ্মবেশী মোডে (সঠিক একটি) বিভিন্ন শংসাপত্র দেখায়। কার্ল বা ওপেনসেল এর মতো কমান্ড লাইন ইউটিলিটিগুলি অবশ্যই সঠিক শংসাপত্রের প্রতিবেদন করে। ব্রাউজারের ক্যাশে (সিটিআরএল + শিফট + ডেল) সাফ করে ফিক্সড - ক্রোমের জন্য "কুকিজ এবং অন্যান্য সাইটের ডেটা" এবং ফায়ার ফক্সের জন্য "অফলাইন ওয়েবসাইট ডেটা"।
anilech

1
ওএসএক্স-এ ফায়ারফক্সের কমপক্ষে বর্তমান সংস্করণ (.0 66.০) এর ক্যাশে বেশ দৃ strongly়ভাবে ধরেছে বলে মনে হচ্ছে। গতকাল আমি আমার ওয়েবসাইটের জন্য একটি টিএলএস শংসাপত্র আপডেট করেছি এবং সিএলআই opensslএবং ক্রোমিয়াম উভয়ই আমাকে নতুন শংসাপত্র দেখায়। সমস্ত ক্যাশে এবং অফলাইন ডেটা সাফ করে একটি ব্রাউজার পুনরায় চালু করে ফায়ারফক্স আমাকে ক্যাশে অক্ষম করে পুনরায় লোড করা সত্ত্বেও পুরানো দেখায়।
ট্যাড লিপি

20

নং আইবিএম এসএসএল ওভারভিউ দেখুন

  1. এসএসএল ক্লায়েন্ট একটি "ক্লায়েন্ট হ্যালো" বার্তা প্রেরণ করে যা ক্রিপ্টোগ্রাফিক তথ্য যেমন SSL সংস্করণ তালিকাভুক্ত করে এবং ক্লায়েন্টের পছন্দ অনুসারে, ক্লায়েন্ট দ্বারা সমর্থিত সাইফারসাইটগুলি। বার্তাটিতে একটি এলোমেলো বাইট স্ট্রিং রয়েছে যা পরবর্তী গণনাগুলিতে ব্যবহৃত হয়। এসএসএল প্রোটোকল "ক্লায়েন্ট হ্যালো" ক্লায়েন্ট দ্বারা সমর্থিত ডেটা সংক্ষেপণ পদ্ধতি অন্তর্ভুক্ত করার অনুমতি দেয়, তবে বর্তমান এসএসএল বাস্তবায়ন সাধারণত এই বিধানটি অন্তর্ভুক্ত করে না।

  2. এসএসএল সার্ভারটি একটি "সার্ভার হ্যালো" বার্তার সাথে প্রতিক্রিয়া জানায় যাতে এসএসএল ক্লায়েন্ট, সেশন আইডি এবং অন্য একটি এলোমেলো বাইট স্ট্রিং সরবরাহ করে সার্ভারের দ্বারা নির্বাচিত সিফারসুইট রয়েছে। এসএসএল সার্ভার এটির ডিজিটাল শংসাপত্রও প্রেরণ করে । যদি ক্লায়েন্টের প্রমাণীকরণের জন্য সার্ভারের একটি ডিজিটাল শংসাপত্রের প্রয়োজন হয় তবে সার্ভারটি একটি "ক্লায়েন্ট শংসাপত্র অনুরোধ" প্রেরণ করে যা সমর্থিত শংসাপত্রগুলির প্রকারের তালিকা এবং গ্রহণযোগ্য শংসাপত্র কর্তৃপক্ষের (সিএ) এর বিশিষ্ট নাম অন্তর্ভুক্ত করে।

  3. এসএসএল ক্লায়েন্ট এসএসএল সার্ভারের ডিজিটাল শংসাপত্রে ডিজিটাল স্বাক্ষরটি যাচাই করে এবং সার্ভারের দ্বারা নির্বাচিত সিফারসাইটটি গ্রহণযোগ্য কিনা তা পরীক্ষা করে।

...

মাইক্রোসফ্ট এর সারাংশ একই। টিএলএস হ্যান্ডশেকও এ ক্ষেত্রে একই রকম।

দ্বিতীয় ধাপে ক্লায়েন্টের পক্ষে "কোনও সার্ভার শংসাপত্র প্রেরণে বিরক্ত করবেন না, আমি আমার ক্যাশে ব্যবহার করব" বলার কোনও উপায় বলে মনে হচ্ছে না।

নোট করুন যে এখানে বিভিন্ন ধরণের শংসাপত্র, ক্লায়েন্ট, সার্ভার এবং সিএ রয়েছে এর মধ্যে কিছু ক্যাশে করা হয়।


এটি একটি সার্ভার শংসাপত্র তা স্পষ্ট করতে মূল প্রশ্ন সংশোধন করা হয়েছে।
লরিন হচস্টিন

এটি সত্য নয় এবং ধরে নেওয়া হচ্ছে যে কীভাবে এসএসএল ক্যাশিংকে বাদ দিয়ে কাজ করে তার একটি সংক্ষিপ্তসারের কারণে কোনও ক্যাশে নেই pretty youtube.com/watch?v=wMFPe-DwULM
ইভান ক্যারল

কেবলমাত্র ক্যাশে যা ব্যবহৃত হতে পারে তা বৈধতা যাচাইয়ের জন্য, যদিও এটি একটি সুরক্ষা বাণিজ্য।
ড্যানিয়েল বি

0

আমি নিশ্চিত না যে আমার ইনপুটটি কোনও উপায়ে সহায়তা করবে কিনা তবে আমি সবেমাত্র যা অনুভব করেছি তা এখানে: আমি একটি কাস্টম ডোমেন সহ অজুরে একটি ওয়েবসাইট পেয়েছি। আমার ডোমেন নামের জন্য এসএসডি বাইন্ডিংটি কনফিগার করার আগে আমি ক্রোমে https দিয়ে এটি অ্যাক্সেস করার চেষ্টা করেছি। ক্রোম আমাকে বলছিল যে সাইটটি সুরক্ষিত নয় যা নিখুঁতভাবে অনুভূত হয় (ERR_CERT_COMMON_NAME.gVALID) তবে আমি আমার শংসাপত্রটি আপলোড করেছি এবং এসএসএল বাইন্ডিংটি অ্যাজেউরে কনফিগার করার পরেও আমি একই ত্রুটি পেয়ে যাচ্ছি। এই পর্যায়ে, একটি নতুন ব্যক্তিগত ব্রাউজার উইন্ডো খোলার সময় (বা অন্য কোনও ব্রাউজার ব্যবহার করে) https ভাল কাজ করছিল।

তবে আমি কখনই আমার উন্মুক্ত ক্রোম সেশনে এটি কাজ করতে পারি না। আমি স্পষ্টভাবে এসএসএল রাষ্ট্রের চেষ্টা করেছি, একই ফলাফল। এটি সম্পূর্ণ ক্রোম পুনরায় চালু করার পরে কাজ করে worked

আমি সম্ভবত কোনও কিছু দ্বারা প্রতারণা করেছি কিন্তু দেখে মনে হচ্ছে সার্টটি ক্যাশে করা হয়েছিল ...


এই ত্রুটিটি বোঝায় যে আপনি একটি ইউআরআই দিয়ে সাইটটি অ্যাক্সেস করেছেন যা সিএন-এর চেয়ে আলাদা ছিল। আপনি বন্ডিং সেটআপ করার পরে ক্রোমে সাইটটি অ্যাক্সেস করার জন্য আপনি কি সত্যিই ইউআরআই পরিবর্তন করেছিলেন?
শেঠ

নাহ, কেবলমাত্র আমি সেই সময়ে পরিবর্তন করেছি was আমি যখন https প্রথম জিজ্ঞাসা করেছি তখন এটি ডিফল্ট অ্যাজুরে এসএসএল শংসাপত্র ব্যবহার করে পরিবেশিত হয়েছিল তবে আমি আজুরে সঠিক সার্টের সাথে বাইন্ডিংটি পরিবর্তন করার পরে এটি এখনও আমাকে এই সেবা করছিল।
এটিয়েন

যেমন আপনি বলেছিলেন যে আপনি নিজের ডোমেন এসএসএল বাইন্ডিংটি কনফিগার করেছেন, তার মানে কি আপনি ডোমেইন ব্যবহার করে সার্ভারটি অ্যাক্সেস করতে পেরেছেন? ত্রুটিটি ইঙ্গিত দেয় যে আপনি যে ইউআরএল ব্যবহার করেছিলেন এবং সেই সার্টিটির জন্য ইউআরএল ছিল তার মধ্যে পার্থক্য রয়েছে। যে আমি বোঝানো কি. এছাড়াও আপনি যদি এইচএসটিএস এবং এরকম সম্পর্কে চিন্তা করেন তবে আপনার প্রকৃত সার্ভার কনফিগারেশনটি যথেষ্ট পরিমাণে গুরুত্বপূর্ণ হতে পারে।
শেঠ

1
পদক্ষেপ 1: অ্যাজুরে প্রকাশিত ওয়েবসাইট। এই পর্যায়ে এটিতে একটি ডিফল্ট অ্যাজুর URL এবং ডিফল্ট শংসাপত্র উভয়ই রয়েছে। পদক্ষেপ 2: ওয়েব অ্যাপ্লিকেশনটির জন্য কাস্টম ডোমেন সেটআপ করুন, এখন mysite.com সঠিকভাবে সাইটটির দিকে নির্দেশ করে points এসএসএল শংসাপত্রের জন্য mysite.com এই পর্যায়ে কনফিগার করা হয়নি। পদক্ষেপ 3: এই মুহুর্তে, সাইটটি https চেষ্টা করার সময়, আমি সুরক্ষাটির সাথে মিলছে না বলে সুরক্ষা ত্রুটি পেয়েছি (এবং এটি সঠিক ধারণা দেয়) পদক্ষেপ 4: আমি মাইসাইট ডটকমের জন্য এসএসএল সার্টিফিকেটটি অ্যাজুরিতে এবং এখনও ইনস্টল করেছি সুরক্ষা সতর্কতা ক্রম থেকে পপ আপ। এটি অন্য কোনও ব্রাউজারে বা আমি একটি ব্যক্তিগত ন্যাভি খুললে হয় না।
এটিয়েন

1
পদক্ষেপ 5: আমি ক্রোম পুনরায় চালু করি এবং এখন (এবং কেবলমাত্র এখন) আমার ওয়েব সাইটটি সঠিক এসএসএল শংসাপত্র ব্যবহার করে পরিবেশিত হয়েছে। অতএব আমার উপসংহারটি হল যে শংসাপত্রের সত্যিকারের ক্যাচিং সমস্যা ছিল
এটিয়েন

-1

কিছু ব্রাউজার বিকাশকারীদের 2011 সালে ডিজিনোটারে আক্রমণ যেমন আক্রমণ সনাক্ত করার জন্য এই জাতীয় ছাচ ব্যবস্থা প্রয়োগ করার পরিকল্পনা রয়েছে ।

তবে এই মুহুর্তে এএফআইএকি বর্তমান ব্রাউজারগুলিতে এমন কোনও সিস্টেম সক্রিয় নেই। সুতরাং আপনার সার্ভার শংসাপত্রটি আপডেট করার সময় আপনাকে এই পরিস্থিতিটি সম্পর্কে ভাবতে হবে না।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.