ফায়ারফক্সে "সুরক্ষা সংযোগ ব্যর্থ" এর সমস্যা সমাধান কীভাবে 38 সংস্করণ থেকে প্রদর্শিত হচ্ছে?

যেহেতু আমি ফায়ারফক্সকে 38 সংস্করণে আপগ্রেড করেছি যে সমস্যার মুখোমুখি হচ্ছি ওয়েবসাইটে https://usercenter.checkPoint.com/ ওয়েবসাইটে একটি নির্দিষ্ট ফর্ম পাঠানোর সময় বেশিরভাগ ওয়েবসাইট স্বাভাবিকভাবেই কাজ করে তবে একটি সমর্থন টিকিট খোলার সময় একটি ফর্ম পাঠায় (নীচের লগের URL ) ফায়ারফক্সকে টিএলএস আলোচনায় ব্যর্থ করে তোলে। ফায়ারফক্সের ত্রুটি পৃষ্ঠাটি প্রায় কিছুই ব্যাখ্যা করে না:

নিরাপদ সংযোগ ব্যর্থ হয়েছে

পৃষ্ঠাটি লোড করার সময় সার্ভারের সাথে সংযোগটি পুনরায় সেট করা হয়েছিল।

• আপনি যে পৃষ্ঠাটি দেখার চেষ্টা করছেন সেটি প্রদর্শিত হবে না কারণ প্রাপ্ত ডেটার সত্যতা যাচাই করা যায়নি।
• এই সমস্যা সম্পর্কে তাদের অবহিত করতে ওয়েবসাইটের মালিকদের সাথে যোগাযোগ করুন।

এই ত্রুটিটি রিপোর্ট করুন

ইউজারসেন্টার.সিএকপয়েন্ট.কমের জন্য ঠিকানা এবং শংসাপত্রের তথ্য রিপোর্ট করা আমাদের দূষিত সাইটগুলি সনাক্ত এবং ব্লক করতে সহায়তা করবে। একটি নিরাপদ ওয়েব তৈরি করতে সাহায্য করার জন্য ধন্যবাদ!

ভবিষ্যতে স্বয়ংক্রিয়ভাবে ত্রুটির প্রতিবেদন করুন আরও জানুন ...

ইন ওয়েব ডেভেলপার কনসোল আমি শুধু এই দেখুন:

19:58:44.470 This site makes use of a SHA-1 Certificate; it's recommended you use certificates with signature algorithms that use hash functions stronger than SHA-1.1 AjaxCall
19:58:44.589 POST https://usercenter.checkpoint.com/usercenter/portal/js_pane/supportId,CreateServiceRequestId [178ms]

প্রথম লাইনটি কেবলমাত্র একটি সতর্কতা যে ভবিষ্যতে SHA-1 সমর্থন করবে না। টিএলএস ব্যর্থতার কারণটি দেখতে কি আমাকে কিছু স্যুইচ করতে হবে? কনসোল থেকে প্রাপ্ত টিএলএস এবং শংসাপত্রের তথ্য নীচে রয়েছে:

আমি সেখানে কোনও ভুল দেখছি না। হতাশার বাইরে আমি টিএলএস পরামিতিগুলি about:configসাফল্য ছাড়াই খেলতে চেষ্টা করেছি :

security.tls.insecure_fallback_hosts
security.tls.unrestricted_rc4_fallback
security.tls.version.fallback-limit
security.tls.version.max
security.tls.version.min

কোয়ালি এসএসএল পরীক্ষাটি পুরোপুরি ভুল কিছু দেখায় না: https://www.ssllabs.com/ssltest/analyze.html?d=usercenter.checkPoint.com

রেড হ্যাট জ্ঞান বেসে একটি প্রতিশ্রুতিবদ্ধ নিবন্ধ রয়েছে: ফায়ারফক্স 38 এবং এসএসএল / টিএলএস সার্ভারগুলি যে টিএলএস সংস্করণটি অসহিষ্ণু হয় তবে সমাধান কেবল গ্রাহকগণের জন্য উপলব্ধ।

আমি ফায়ারফক্স 38 এর জন্য সাইটের সামঞ্জস্যতাও পরীক্ষা করে দেখেছি ।

প্রশ্নাবলি

• টিএলএস ব্যর্থতার কারণ কীভাবে আমি সমস্যা সমাধান করব?
• ফায়ারফক্সে অন্য কোনও ব্যবহারকারীর-কনফিগারযোগ্য সাদা তালিকা রয়েছে যেখানে আমি ব্যর্থ ওয়েবসাইটের ঠিকানা যুক্ত করার চেষ্টা করতে পারি?
• কনসোল দেখায় যে usercenter.checkpoint.comপূর্বের সফল যোগাযোগের মতো পোষ্ট অনুরোধটি একই হোস্টে যায় তবে নির্দিষ্ট ফর্মটি প্রেরণ করেই ব্যর্থতার কারণগুলি কী হতে পারে ?

ফায়ারফক্সে "সুরক্ষা সংযোগ ব্যর্থ" এর সমস্যা সমাধান কীভাবে 38 সংস্করণ থেকে প্রদর্শিত হচ্ছে?

ব্যবহার openssl s_client। এটি এই জাতীয় জিনিসগুলির জন্য একটি সুইস সেনা ছুরি। এবং openssl x509শংসাপত্র ডাম্প করতে ব্যবহার করুন ।

আপনি সাধারণত {Issuer, Subject}চেইনের জুটিতে আগ্রহী হন :

Certificate chain
 0 s:/C=US/ST=California/L=San Carlos/O=Check Point Software Technologies Inc./OU=MIS-US/CN=usercenter.checkpoint.com
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority

সার্ভারে ইস্যুকারী কীভাবে পরবর্তী উচ্চতর শংসাপত্রের বিষয় হয়ে যায় তা লক্ষ্য করুন। গুটম্যান তাঁর ইঞ্জিনিয়ারিং সুরক্ষা বইয়ে এটি বর্ণনা করার জন্য নিম্নলিখিত চিত্রটি সরবরাহ করেছেন :

শীর্ষে, সিএ রুট স্ব স্বাক্ষরিত এবং ইস্যু এবং বিষয়টি একই। যদি স্তর 3 থাকে তবে তা হবে:

 3 s:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority

তবে আপনি সাধারণত এটি একটি শৃঙ্খলে দেখতে পান না কারণ আপনার অবশ্যই এটির উপর বিশ্বাস রাখা উচিত। আর আস্থার অ্যাঙ্কারের প্রয়োজনীয়তার অংশটি হ'ল এটির যাতে কোনও ছলচাতুরী না হয় তা নিশ্চিত করার জন্য আপনার কাছে এটি ইতিমধ্যে রয়েছে।

সাবজেক্ট এবং ইস্যুয়ারের নাম ব্যবহার করে ডিস্টিস্টিনিশড নেম যা ডাকা হয় তা ব্যবহার করে । চেইন গঠনের অন্য উপায়টি রয়েছে KEYIDs। আপনি কখনও কখনও সাবজেক্ট কী আইডেন্টিফায়ার (এসকেআই) এবং অথরিটি কী আইডেন্টিফায়ার (একেবি) এর মাধ্যমে দেখতে পাবেন । মূল শনাক্তকারীরা হজমকৃত পাবলিক কীটির কেবল থাম্বপ্রিন্ট।

আরএফসি 4514 এর মতো মানেরগুলিতে আপনি বিশিষ্ট নামগুলি পড়তে পারেন ; এবং আরএফসি 4518 এর মতো স্ট্যান্ডার্ডগুলিতে কেইআইআইডি ব্যবহার করে যা পাথ বিল্ডিংয়ের সাথে নিজেকে উদ্বেগ দেয়।

সমস্যাটি ব্রাউজারের সাথে দেখা হচ্ছে (তবে নীচে দেখুন)। দেখে মনে হচ্ছে এটি Class 3 Public Primary Certification Authorityথাম্বপ্রিন্ট সহ হারিয়েছে a1 db 63 93 91 6f 17 e4 18 55 09 40 04 15 c7 02 40 b0 ae 6b।

আমি যখন সিম্যানটেক রুট সার্টিফিকেটগুলি পরিদর্শন করি এবং ক্লাস 3 পাবলিক প্রাথমিক সার্টিফিকেশন কর্তৃপক্ষ ডাউনলোড করি, তখন আমি বৈধতার জন্য একটি পথ তৈরি করতে পারি ( Verify return code: 0 (ok)নীচের দিকে লক্ষ্য করুন )।

Class 3 Public Primary Certification Authorityআপনার ব্রাউজারের বিশ্বস্ত রুট স্টোরটি ডাউনলোড এবং ইনস্টল করা উচিত । বা এটি নির্ধারণ করুন কেন এটি নির্মাণের জন্য ব্রাউজারটি ব্যবহার হচ্ছে না (পরবর্তী দেখুন)।

মজিলা এবং ফায়ারফক্স Class 3 Public Primary Certification Authorityএকটি ব্লগ পোস্টে কথা বলছেন : 1024-বিট আরএসএ কীগুলির সাথে শংসাপত্রগুলি ফেজ করে । পোস্ট অনুসারে, তারা ফায়ারফক্স ৩২ সাল থেকে এই সিএ শংসাপত্রটি অবমাননাক্রমে করেছে। এই কীগুলি সিএ স্বাক্ষরকরণের জন্য দীর্ঘমেয়াদী ব্যবহৃত হয়, এবং তাদের "শক্তিশালী" পরামিতিগুলির প্রয়োজন কারণ তাদের 10 থেকে 30 বছর বাঁচতে হয় (আক্ষরিক)।

চেকপয়েন্টে সমসাময়িক প্যারামিটারগুলির সাথে শংসাপত্রের (শৃঙ্খলা) অধীনে একটি নতুন সার্ভার শংসাপত্র জারি করা দরকার, যেমন একটি সিএর মতো 4096-বিট আরএসএ মডুলি এবং এসএএএ-256। বা 2048-বিট আরএসএ মডুলি এবং SHA-256 সহ একটি অধস্তন CA ...

(এছাড়াও নীচে আমার জন্য কি কাজ করে না তা দেখুন)।

ওপেনএসএসএল ব্যবহার করে ক্লাস 3 পাবলিক প্রাথমিক সার্টিফিকেশন কর্তৃপক্ষের সাথে সার্ভার শংসাপত্রটি বৈধ করার উদাহরণ এখানে রয়েছে s_client:

$ openssl s_client -connect usercenter.checkpoint.com:443 -tls1 \
    -servername usercenter.checkpoint.com -CAfile Class-3-Public-Primary-Certification-Authority.pem 
CONNECTED(00000003)
depth=3 C = US, O = "VeriSign, Inc.", OU = Class 3 Public Primary Certification Authority
verify return:1
depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign, Inc. - For authorized use only", CN = VeriSign Class 3 Public Primary Certification Authority - G5
verify return:1
depth=1 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = Terms of use at https://www.verisign.com/rpa (c)10, CN = VeriSign Class 3 Secure Server CA - G3
verify return:1
depth=0 C = US, ST = California, L = San Carlos, O = Check Point Software Technologies Inc., OU = MIS-US, CN = usercenter.checkpoint.com
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=San Carlos/O=Check Point Software Technologies Inc./OU=MIS-US/CN=usercenter.checkpoint.com
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=California/L=San Carlos/O=Check Point Software Technologies Inc./OU=MIS-US/CN=usercenter.checkpoint.com
issuer=/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
---
No client certificate CA names sent
---
SSL handshake has read 4310 bytes and written 600 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES128-SHA
    Session-ID: 141BB5DD85FA61CC85E5C8368DED9EB9C7C6427D7F655F8DD778EEB003F9EBE7
    Session-ID-ctx: 
    Master-Key: 84261799D242992FE44D48F39F1A10CFCE5BE60E1A900CC3E6BFFD368DAB68A439287C81DC9510871963EF8E3366FFE3
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1432323605
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)

এর আগে আমি বলেছিলাম "শীর্ষে, সিএ মূলটি স্ব স্বাক্ষরিত এবং ইস্যু এবং বিষয়টি একই" । এখানে সেই স্ব স্বাক্ষরিত সিএ রুটের একটি ডাম্প রয়েছে, যেখানে সাবজেক্ট এবং ইস্যুকারী একই are এটি 1024-বিট মডিউল এবং sha1WithRSAEncryption প্রদর্শন করে।

$ openssl x509 -in Class-3-Public-Primary-Certification-Authority.pem -inform PEM -text -noout
Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            3c:91:31:cb:1f:f6:d0:1b:0e:9a:b8:d0:44:bf:12:be
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
        Validity
            Not Before: Jan 29 00:00:00 1996 GMT
            Not After : Aug  2 23:59:59 2028 GMT
        Subject: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (1024 bit)
                Modulus:
                    00:c9:5c:59:9e:f2:1b:8a:01:14:b4:10:df:04:40:
                    db:e3:57:af:6a:45:40:8f:84:0c:0b:d1:33:d9:d9:
                    11:cf:ee:02:58:1f:25:f7:2a:a8:44:05:aa:ec:03:
                    1f:78:7f:9e:93:b9:9a:00:aa:23:7d:d6:ac:85:a2:
                    63:45:c7:72:27:cc:f4:4c:c6:75:71:d2:39:ef:4f:
                    42:f0:75:df:0a:90:c6:8e:20:6f:98:0f:f8:ac:23:
                    5f:70:29:36:a4:c9:86:e7:b1:9a:20:cb:53:a5:85:
                    e7:3d:be:7d:9a:fe:24:45:33:dc:76:15:ed:0f:a2:
                    71:64:4c:65:2e:81:68:45:a7
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha1WithRSAEncryption
         10:72:52:a9:05:14:19:32:08:41:f0:c5:6b:0a:cc:7e:0f:21:
         19:cd:e4:67:dc:5f:a9:1b:e6:ca:e8:73:9d:22:d8:98:6e:73:
         03:61:91:c5:7c:b0:45:40:6e:44:9d:8d:b0:b1:96:74:61:2d:
         0d:a9:45:d2:a4:92:2a:d6:9a:75:97:6e:3f:53:fd:45:99:60:
         1d:a8:2b:4c:f9:5e:a7:09:d8:75:30:d7:d2:65:60:3d:67:d6:
         48:55:75:69:3f:91:f5:48:0b:47:69:22:69:82:96:be:c9:c8:
         38:86:4a:7a:2c:73:19:48:69:4e:6b:7c:65:bf:0f:fc:70:ce:
         88:90

এর আগে আমি বলেছিলাম "চেকপয়েন্টে সমসাময়িক প্যারামিটারগুলির সাথে শংসাপত্রের (শৃঙ্খলার) অধীনে একটি নতুন সার্ভার শংসাপত্র জারি করা দরকার, যেমন একটি সিএর মতো 4096-বিট আরএসএ মডুলি এবং এসএএচ-256 রয়েছে। অথবা 2048-বিট আরএসএ মডুলি সহ একটি অধস্তন সিএ এবং SHA-256 ... " ।

আমার পক্ষে এটি কার্যকর হয়নি তা এখানে : শক্তিশালী অধস্তন সিএতে বিশ্বাস স্থাপন বা অ্যাঙ্করিং VeriSign Class 3 Public Primary Certification Authority - G5, এবং দুর্বল 1024-বিট রুট সিএ নয় not

সম্পাদনা : এটি ওপেনএসএসএল 1.0.2a এবং এর নীচে একটি বাগের কারণে। এটি ওপেনএসএসএল 1.0.2 বি তে স্থির করা হয়েছিল। যখন শৃঙ্খলে অধস্তন একটি স্বাক্ষরিত রুটে উন্নীত হয় তখন যাচাইকরণের জন্য প্রত্যাশিত আচরণ দেখুন ?

$ openssl s_client -connect usercenter.checkpoint.com:443 -tls1 \
    -servername usercenter.checkpoint.com -CAfile VeriSign-Class-3-Public-Primary-Certification-Authority-G5.pem 
CONNECTED(00000003)
depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign, Inc. - For authorized use only", CN = VeriSign Class 3 Public Primary Certification Authority - G5
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
 0 s:/C=US/ST=California/L=San Carlos/O=Check Point Software Technologies Inc./OU=MIS-US/CN=usercenter.checkpoint.com
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=California/L=San Carlos/O=Check Point Software Technologies Inc./OU=MIS-US/CN=usercenter.checkpoint.com
issuer=/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
---
No client certificate CA names sent
---
SSL handshake has read 4310 bytes and written 600 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES128-SHA
    Session-ID: 736B3105DB22F2AB0F5D42C8161A8A132BF1E7C37464BB2F0D00058B867332EB
    Session-ID-ctx: 
    Master-Key: BDD5D4951E3FD01C3C456D475EAE6D0D5CE53FBF75B4F6F3D4D186A27B566D75056057D5395F35AE3BA8D20A669212C2
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1432324811
    Timeout   : 7200 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---

ব্যবহারিক সমস্যা হ'ল সিম্যানটেক একই নাম এবং একই পাবলিক কী সহ একটি শংসাপত্র পুনরায় জারি করে, সুতরাং বিশিষ্ট নাম , বিষয় কী সনাক্তকারী এবং কর্তৃপক্ষের কী পরিচয়দাতা পরিবর্তন হয়নি ; তবে কেবল সিরিয়াল নম্বর পরিবর্তন করা ।

সিম্যানটেক সাইট থেকে ডাউনলোড করা বনাম শৃঙ্খলে প্রেরিত শংসাপত্রের মধ্যে বিভিন্ন সিরিয়াল নম্বরগুলির কারণে আমি এটি নীচে চিহ্নিত করতে সক্ষম হয়েছি। তারপরে এটি স্পষ্ট হয়ে উঠল যে পুনরায় জারি করা শংসাপত্রটি অধস্তন সিএ থেকে একটি রুট সিএতে পরিবর্তন করা হয়েছিল

শৃঙ্খলে শংসাপত্রগুলি দেখতে আপনি -showcertsওপেনএসএসএল এর সাহায্যে ব্যবহার করতে পারেন s_client:

$ openssl s_client -connect usercenter.checkpoint.com:443 -tls1 \
    -servername usercenter.checkpoint.com -showcerts
CONNECTED(00000003)
...
---
Certificate chain
 0 s:/C=US/ST=California/L=San Carlos/O=Check Point Software Technologies Inc./OU=MIS-US/CN=usercenter.checkpoint.com
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=US/ST=California/L=San Carlos/O=Check Point Software Technologies Inc./OU=MIS-US/CN=usercenter.checkpoint.com
issuer=/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3
---
...

আমি পরে যা করি তা হ'ল চেইনের একটি পিইএম এনকোডেড শংসাপত্রটি একটি ক্লিপবোর্ডে pbpasteঅনুলিপি করে , এবং তারপরে টার্মিনালে আটকানো এবং এটি ওপেনএসএসএলগুলিতে পাইপ করতে ব্যবহার করুন x509। উদাহরণস্বরূপ, VeriSign Class 3 Public Primary Certification Authority - G5চেনের অংশ হিসাবে এখানে স্তর 2 পাঠানো হয়েছে:

$ pbpaste | openssl x509 -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            25:0c:e8:e0:30:61:2e:9f:2b:89:f7:05:4d:7c:f8:fd
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
    ...

এটি ঠিকানা বারে কনফিগার করে টাইপ করে ঠিক করা হয়েছে, তারপরে "আমি সাবধান থাকব, আমি প্রতিশ্রুতি দিচ্ছি!" বোতাম। সেই সময়ে সুরক্ষা.tls.insecure_fallback_hosts বিকল্পটিতে ডাবল ক্লিক করুন এবং তারপরে আপনি যে ঠিকানায় অ্যাক্সেস করার চেষ্টা করছেন তা যুক্ত করুন।

এটি কাজ করার জন্য আমাকে আমার ঠিকানা থেকে "https: \" (উভয় পিছনে ফেলে দেওয়া হয়েছিল, সুপারজার আমার দ্বিতীয়টিকে সরিয়ে ফেলেছিল) তবে আপনার ফলাফলগুলি পৃথক হতে পারে তাই সম্ভবত উভয়ই চেষ্টা করে দেখুন।

এটি ফায়ারফক্স সংস্করণ 43.0.1 হিসাবে সঠিক।

(অন্যান্য উত্তর থেকে) এই ক্ষেত্রে, সিম্যানটেককে ভেরিসাইন ক্লাস 3 পাবলিক প্রাথমিক সার্টিফিকেশন কর্তৃপক্ষ - জি 5 নির্বাচন করার সময় তাদের ভাঙ্গা রুট সার্টিফিকেট পৃষ্ঠাটি ঠিক করতে বা ডাউনলোডের জন্য সঠিক শংসাপত্র সরবরাহ করতে হবে।

যদি আপনি তাকান VeriSign ক্লাস 3 জন প্রাথমিক শংসাপত্র কর্তৃপক্ষ - G5 সঙ্গে চেইন দেওয়া openssl s_client ... -showcertsএবং VeriSign ক্লাস 3 জন প্রাথমিক শংসাপত্র কর্তৃপক্ষ - G5 ডাউনলোডের জন্য উপলব্ধ করা, আপনি তারা বিভিন্ন সার্টিফিকেট আছে। সুতরাং ভেরিজাইন একই বিশিষ্ট নাম এবং সাবজেক্ট পাবলিক কী সহ একটি শংসাপত্র পুনরায় জারি করেছে ।

চেইন অব সংস্করণ VeriSign ক্লাস 3 জন প্রাথমিক শংসাপত্র কর্তৃপক্ষ - G5 নিম্নলিখিত ক্রমিক সংখ্যা আছে, এবং এটা নয় স্ব-স্বাক্ষরিত (নোটিশ সাপেক্ষে এবং ইস্যুকারী আলাদা):

$ pbpaste | openssl x509 -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            25:0c:e8:e0:30:61:2e:9f:2b:89:f7:05:4d:7c:f8:fd
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
        Validity
            Not Before: Nov  8 00:00:00 2006 GMT
            Not After : Nov  7 23:59:59 2021 GMT
        Subject: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G5
...

থেকে ডাউনলোড সংস্করণ সিম্যানটেক রুট সার্টিফিকেট এর VeriSign ক্লাস 3 জন প্রাথমিক শংসাপত্র কর্তৃপক্ষ - G5 নিম্নলিখিত ক্রমিক সংখ্যা আছে, এবং এটা হল স্ব-স্বাক্ষরিত (নোটিশ সাপেক্ষে এবং ইস্যুকারী একই):

$ openssl x509 -in VeriSign-Class-3-Public-Primary-Certification-Authority-G5.pem -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            18:da:d1:9e:26:7d:e8:bb:4a:21:58:cd:cc:6b:3b:4a
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G5
        Validity
            Not Before: Nov  8 00:00:00 2006 GMT
            Not After : Jul 16 23:59:59 2036 GMT
        Subject: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G5
...

এখানে সত্যিই একটাই ঠিক আছে।

চেকপয়েন্টটি পুরানো সংস্করণটি ভারি সাইন ক্লাস 3 পাবলিক প্রাইমারী সার্টিফিকেশন অথরিটি - চেইনে জি 5 অধস্তন পাঠানো বন্ধ করবে।

এর কারণ বাস্তবে, যাচাই করা পথগুলি এবং শংসাপত্রগুলি নির্বাচন করা বিভ্রান্ত হয়ে পড়বে কারণ পুরানো জি 5 শংসাপত্র এবং নতুন জি 5 শংসাপত্রটি একই রকম। এগুলি খুব অনুরূপ কারণ তারা একই বিশিষ্ট নাম এবং একই সাবজেক্ট কী আইডেন্টিফায়ার / অথরিটি কী আইডেন্টিফায়ার ব্যবহার করে ।

তত্ত্ব অনুসারে, আপনি সার্ভারের দ্বারা প্রেরিত চেইন থেকে পুরানো জি 5 শংসাপত্রটি বের করে মোজিলা ট্রাস্ট স্টোরে রাখতে পারেন। তবে আমি দৃ strongly়ভাবে সন্দেহ করি যে এটি ব্যবহারকারীর এজেন্টরা কোনও পথ তৈরির চেষ্টা করতে গিয়ে বিভ্রান্ত করবে কারণ একমাত্র জিনিস যা পরিবর্তিত হয়েছিল তা হ'ল সিরিয়াল নম্বর।

বিভ্রান্তি বুঝতে, আরএফসি 4158 এবং কীভাবে একটি শংসাপত্র নির্বাচন করবেন তা দেখুন। একটি উপায় {Distinguished Name, Serial Number}টিপল। তবে যাচাই করা শংসাপত্রের মধ্যে ইস্যুকারীর ক্রমিক নম্বর অন্তর্ভুক্ত থাকে না । এটিতে কেবল বিশিষ্ট নাম এবং কর্তৃপক্ষের কী সনাক্তকারী অন্তর্ভুক্ত রয়েছে ।

বিভাগ 3.5.12 কী আইডেন্টিফায়ারগুলি (কেআইডি) মেলাচ্ছে তা উল্লেখ করে:

যদি বর্তমান শংসাপত্র একিআইডিতে ইস্যুকারীর নাম এবং ক্রমিক নম্বর প্রকাশ করে তবে শংসাপত্রগুলি যেগুলি উভয়ই সনাক্তকারীদের সাথে মেলে তার সর্বোচ্চ অগ্রাধিকার থাকে।

তবে এটির প্রয়োজন নেই, এবং ওয়ারেজ সিম্যানটেক সরবরাহ থেকে হারিয়ে গেছে। এটি প্রথম হাতে দেখতে, চেইনে প্রেরিত স্তর 1 মধ্যবর্তীটি ডাম্প করুন। একে VeriSign Class 3 Secure সার্ভার CA - G3 বলা হয় । লক্ষ্য করুন এটিতে একটি কর্তৃপক্ষের কী সনাক্তকারী রয়েছে , তবে কোনও ক্রমিক নম্বর নেই :

$ pbpaste | openssl x509 -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority - G5
        Validity
            Not Before: Feb  8 00:00:00 2010 GMT
            Not After : Feb  7 23:59:59 2020 GMT
        Subject: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)10, CN=VeriSign Class 3 Secure Server CA - G3
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b1:87:84:1f:c2:0c:45:f5:bc:ab:25:97:a7:ad:
                    a2:3e:9c:ba:f6:c1:39:b8:8b:ca:c2:ac:56:c6:e5:
                    bb:65:8e:44:4f:4d:ce:6f:ed:09:4a:d4:af:4e:10:
                    9c:68:8b:2e:95:7b:89:9b:13:ca:e2:34:34:c1:f3:
                    5b:f3:49:7b:62:83:48:81:74:d1:88:78:6c:02:53:
                    f9:bc:7f:43:26:57:58:33:83:3b:33:0a:17:b0:d0:
                    4e:91:24:ad:86:7d:64:12:dc:74:4a:34:a1:1d:0a:
                    ea:96:1d:0b:15:fc:a3:4b:3b:ce:63:88:d0:f8:2d:
                    0c:94:86:10:ca:b6:9a:3d:ca:eb:37:9c:00:48:35:
                    86:29:50:78:e8:45:63:cd:19:41:4f:f5:95:ec:7b:
                    98:d4:c4:71:b3:50:be:28:b3:8f:a0:b9:53:9c:f5:
                    ca:2c:23:a9:fd:14:06:e8:18:b4:9a:e8:3c:6e:81:
                    fd:e4:cd:35:36:b3:51:d3:69:ec:12:ba:56:6e:6f:
                    9b:57:c5:8b:14:e7:0e:c7:9c:ed:4a:54:6a:c9:4d:
                    c5:bf:11:b1:ae:1c:67:81:cb:44:55:33:99:7f:24:
                    9b:3f:53:45:7f:86:1a:f3:3c:fa:6d:7f:81:f5:b8:
                    4a:d3:f5:85:37:1c:b5:a6:d0:09:e4:18:7b:38:4e:
                    fa:0f
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            Authority Information Access: 
                OCSP - URI:http://ocsp.verisign.com

            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
            X509v3 Certificate Policies: 
                Policy: 2.16.840.1.113733.1.7.23.3
                  CPS: https://www.verisign.com/cps
                  User Notice:
                    Explicit Text: https://www.verisign.com/rpa

            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://crl.verisign.com/pca3-g5.crl

            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            1.3.6.1.5.5.7.1.12: 
                0_.].[0Y0W0U..image/gif0!0.0...+..............k...j.H.,{..0%.#http://logo.verisign.com/vslogo.gif
            X509v3 Subject Alternative Name: 
                DirName:/CN=VeriSignMPKI-2-6
            X509v3 Subject Key Identifier: 
                0D:44:5C:16:53:44:C1:82:7E:1D:20:AB:25:F4:01:63:D8:BE:79:A5
            X509v3 Authority Key Identifier: 
                keyid:7F:D3:65:A7:C2:DD:EC:BB:F0:30:09:F3:43:39:FA:02:AF:33:31:33

    Signature Algorithm: sha1WithRSAEncryption
         0c:83:24:ef:dd:c3:0c:d9:58:9c:fe:36:b6:eb:8a:80:4b:d1:
         a3:f7:9d:f3:cc:53:ef:82:9e:a3:a1:e6:97:c1:58:9d:75:6c:
         e0:1d:1b:4c:fa:d1:c1:2d:05:c0:ea:6e:b2:22:70:55:d9:20:
         33:40:33:07:c2:65:83:fa:8f:43:37:9b:ea:0e:9a:6c:70:ee:
         f6:9c:80:3b:d9:37:f4:7a:6d:ec:d0:18:7d:49:4a:ca:99:c7:
         19:28:a2:be:d8:77:24:f7:85:26:86:6d:87:05:40:41:67:d1:
         27:3a:ed:dc:48:1d:22:cd:0b:0b:8b:bc:f4:b1:7b:fd:b4:99:
         a8:e9:76:2a:e1:1a:2d:87:6e:74:d3:88:dd:1e:22:c6:df:16:
         b6:2b:82:14:0a:94:5c:f2:50:ec:af:ce:ff:62:37:0d:ad:65:
         d3:06:41:53:ed:02:14:c8:b5:58:28:a1:ac:e0:5b:ec:b3:7f:
         95:4a:fb:03:c8:ad:26:db:e6:66:78:12:4a:d9:9f:42:fb:e1:
         98:e6:42:83:9b:8f:8f:67:24:e8:61:19:b5:dd:cd:b5:0b:26:
         05:8e:c3:6e:c4:c8:75:b8:46:cf:e2:18:06:5e:a9:ae:a8:81:
         9a:47:16:de:0c:28:6c:25:27:b9:de:b7:84:58:c6:1f:38:1e:
         a4:c4:cb:66