স্ব-স্বাক্ষরিত SSL শংসাপত্রগুলি ব্যবহার করা কি খারাপ অভ্যাস?

এসএসএল শংসাপত্রগুলি ব্যক্তিদের জন্য বেশ ব্যয়বহুল, বিশেষত যদি আপনাকে বিভিন্ন সাবডোমেনগুলি সুরক্ষিত করতে হয়। আমি স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করার বিষয়ে বিবেচনা করছি, কারণ আমার প্রাথমিক দৃষ্টি নিবদ্ধ করা সংযোগটি সুরক্ষিত করা, এবং নিজেকে প্রমাণীকরণ করা নয়।

তবে এই জাতীয় শংসাপত্রের মুখোমুখি হওয়ার সময় বেশ কয়েকটি ব্রাউজার দুষ্টু সতর্কতা প্রদর্শন করে। আপনি কি স্ব-স্বাক্ষরিত শংসাপত্রগুলির ব্যবহারকে নিরুৎসাহিত করবেন (উদাহরণস্বরূপ ছোট ওয়েব অ্যাপ্লিকেশন বা একটি ছোট ওয়েবসাইটের প্রশাসক পৃষ্ঠা)? নাকি কিছু ক্ষেত্রে ঠিক আছে?

সাধারণভাবে স্ব স্বাক্ষরিত শংসাপত্র ব্যবহার করা খারাপ। যদি আপনি এটি করেন তবে আপনি ঝুঁকিপূর্ণ অবস্থায় চলেছেন লোকেরা যখন আপনার শংসাপত্রটি খারাপ হওয়ার বিষয়ে কোনও সতর্কতা পাবে তখন তারা আপনার সাইটটি ত্যাগ করবে। আরও গুরুত্বপূর্ণ, আপনি যদি নিজের জায়গায় স্ব-স্বাক্ষরিত সার্টিটি ব্যবহার করেন তবে আপনার কোনও জায়গায় ইঞ্জেকশন আক্রমণ করার ঝুঁকি রয়েছে running

নিবন্ধটি এখানে দেখুন, এখানে আরও আরও তথ্যের জন্য http://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html ।

র‌্যান্ডমবেন যেমন বলেছিলেন, স্ব-স্বাক্ষরিত শংসাপত্রগুলি সাধারণত তার কারণগুলির কারণেই বোঝানো হয়। তবে একটি পরিস্থিতি রয়েছে যার মধ্যে সেগুলি ঠিক আছে: আপনার ওয়েবসাইটটিতে সংবেদনশীল ডেটা জমা দেওয়ার জন্য এমন লোকদের সেট যদি ছোট এবং সীমাবদ্ধ হয় তবে তারা সকলেই কিছুটা প্রযুক্তিগতভাবে দক্ষ এবং আপনি তাদের সবার সাথে যোগাযোগ করতে সক্ষম হন। সেক্ষেত্রে আপনি প্রতিটি ব্যক্তিকে শংসাপত্রের বিশদ দিতে পারেন, তারপরে তারা আপনার সাইটে গেলে ম্যানুয়ালি শংসাপত্রটি পরীক্ষা করতে পারেন এবং উপযুক্ত হলে সুরক্ষা ব্যতিক্রম যুক্ত করতে পারেন add

চরম উদাহরণ হিসাবে, আমার ব্যক্তিগত ভিপিএসে আমার একটি প্রশাসনিক সাবডোমেন রয়েছে, যা কেবল আমার দ্বারা অ্যাক্সেস করা উচিত। স্ব-স্বাক্ষরিত শংসাপত্রের সাথে সেই ডোমেনটি সুরক্ষিত করতে কোনও সমস্যা হবে না কারণ আমি ম্যানুয়ালি পরীক্ষা করতে পারি যে সংযোগটি সুরক্ষিত করতে ব্যবহৃত সার্ভার শংসাপত্রটি আমি সার্ভারে ইনস্টল করেছিলাম।

যে ক্ষেত্রে স্ব-স্বাক্ষরিত সার্টিফিকেট কাজ করবে না বা আপনার পরিবর্তে "সত্যিকারের" হবে, আমি সুপারিশ করি লেটস এনক্রিপ্ট , একটি প্রকল্প ইন্টারনেট সুরক্ষা গবেষণা গ্রুপ দ্বারা শুরু করা এবং বড় ইন্টারনেট সংস্থাগুলি দ্বারা সমর্থিত, যা এসএসএল শংসাপত্রগুলি সরবরাহ করে কোন খরচ. তারা এটি করতে পারে কারণ তারা যাচাইকরণের প্রক্রিয়াটি সম্পূর্ণরূপে স্বয়ংক্রিয়ভাবে তৈরি হয়েছে এবং প্রকৃতপক্ষে একটি ওয়েব সার্ভার যা তাদের এসিএমই প্রোটোকলকে সমর্থন করে (যেমন ক্যাডির মতো , যা আমি বর্তমানে ব্যবহার করি) পুরোপুরি তার নিজস্বভাবে শংসাপত্রগুলি পেতে পারে। আসুন এনক্রিপ্ট আপনাকে যাচাই করে নাএকজন ব্যক্তি হিসাবে, আপনি যাকে বলে আপনি হলেন; এটি কেবলমাত্র যাচাই করে যে আপনার ওয়েব সার্ভারটি যে ডোমেনটির দাবি করেছে তাতে লিখিত সামগ্রী সরবরাহ করতে সক্ষম। আসুন এনক্রিপ্টটি সমস্ত বড় ব্রাউজার দ্বারা সমর্থিত হয় তবে এটি ভালভাবেই জানা যায় যে যাচাইটি ন্যূনতম, সুতরাং আপনি যদি কোনও ই-কমার্স সাইটের মতো কিছু চালাচ্ছেন বা লোকেরা সংবেদনশীল তথ্য জমা দেবে, সম্ভবত আপনার অর্থ ব্যয় করা উচিত বৈধতার একটি উচ্চ স্তরের শংসাপত্র।

যাঁরা বৈধতার জন্য অর্থ দিতে চান না, তাদের জন্য আমি স্টার্টকম থেকে বিনামূল্যে স্টার্টএসএল শংসাপত্রগুলির সুপারিশ করতাম but স্টার্টকম গোপনে 2016 সালে ওউসাইন দ্বারা অধিগ্রহণ করা হয়েছিল এবং পরে বেশ কয়েকটি ডোমেনের জন্য অবৈধ শংসাপত্র জারি করে। ফলস্বরূপ, বড় ব্রাউজারগুলি স্টার্টকম শংসাপত্রগুলির জন্য তাদের সমর্থন সরিয়ে দেয়। (যতদূর আমি জানি, আইই তাদের কোনওভাবেই সমর্থন করেনি)) যাই হোক না কেন, চলুন এনক্রিপ্টটি আরও বেশি সুবিধাজনক।

এটা না ব্যবহার স্ব-স্বাক্ষরিত সার্টিফিকেট খারাপ অনুশীলন। স্ব-স্বাক্ষরিত শংসাপত্রগুলির অনেকগুলি ব্যবহারিক উদ্দেশ্য রয়েছে যার জন্য এটি সিএ-স্বাক্ষরিত শংসাপত্রটি ব্যবহার করা সহজভাবে বোঝায় না।

উদাহরণস্বরূপ, আমার অনেক সার্ভারে আমার পাসওয়ার্ডহীন লগইন সেট আপ রয়েছে। এগুলি এমন সার্ভারগুলি যা আমি প্রায়শই সংযুক্ত হয়ে থাকি এবং কখনও কখনও একাধিক এসএসএইচ সংযোগগুলি খোলা রাখি, এটি প্রতিবারই আমার ব্যবহারকারী নাম এবং পাসওয়ার্ড টাইপ করার ঝামেলা a

পরিবর্তে, আমি আমার স্বতন্ত্রিত এসএসএল শংসাপত্র ব্যবহার করি যা আমি আমার প্রতিটি ক্লায়েন্ট মেশিনে তৈরি করি (অফিসে একটি ওয়ার্কস্টেশন, একটি ল্যাপটপ এবং আমার হোম ওয়ার্কস্টেশন)। এই ধরণের সেটআপ আমাকে উত্পাদনক্ষমতা প্রভাবিত না করে আমার প্রতিটি সার্ভারের জন্য মোটামুটি দীর্ঘ, সুরক্ষিত এবং সম্পূর্ণ অনন্য পাসফ্রেজগুলি ব্যবহার করার অনুমতি দেয়। এবং যে সমস্ত সার্ভারগুলিতে আমি প্রতিটি শংসাপত্রের জন্য সর্বজনীন কী ইনস্টল করতে পারি সেগুলিতে আমার সরাসরি অ্যাক্সেস রয়েছে, CA-স্বাক্ষরিত শংসাপত্রটি ব্যবহার করে আমার কোনও লাভ নেই।

আমি আমার নিজস্ব রুট সিএ সেট করতে পারলাম যার সাহায্যে আমি আমাদের সংস্থার অভ্যন্তরীণ-ব্যবহারের সমস্ত শংসাপত্রগুলিতে স্বাক্ষর করতে পারি এবং এই পদ্ধতিতে আমাকে কেবল প্রতিটি সার্ভারে একটি একক পাবলিক কী ইনস্টল করতে হবে। তবে, আমাদের সংস্থাটি এখনও এর আকারে বেড়েছে নি যা সত্যই এটির প্রয়োজন হয় এবং সুরক্ষিত HTTP- র উদ্দেশ্যে, এটি এখনও স্ব-স্বাক্ষরিত শংসাপত্র থাকার মতোই হবে।

তেমনি, স্ব-স্বাক্ষরিত শংসাপত্রগুলি প্রায়শই ইমেল সংযোগ, পিজিপি স্বাক্ষর এবং সার্ভার-টু-সার্ভার সংযোগের জন্য ব্যবহৃত হয় যেখানে এটি প্রাক-এক্সচেঞ্জ পাবলিক কীগুলির জন্য তুচ্ছ। এর মধ্যে বেশিরভাগ ক্ষেত্রে, এটি শংসাপত্রের চেইনের উপর নির্ভর করার চেয়ে আরও সুরক্ষিত যা চেইনের যে কোনও সময়ে সমঝোতা হতে পারে।

আপনি যদি একাধিক সাবডোমেন সুরক্ষিত করে থাকেন তবে আপনি ওয়াইল্ডকার্ড শংসাপত্রগুলি ব্যবহার করতে চাইতে পারেন , যা (আপনি কত সাবডোমেনগুলি সুরক্ষিত করছেন তার উপর নির্ভর করে) প্রতি ডোমেনের চেয়ে একটি কিনে তুলনামূলকভাবে কম ব্যয় করতে পারে; উদাহরণস্বরূপ, একবার আপনার চারটি ডোমেন ব্যবহারের পরে র্যাপিডএসএসএল স্বতন্ত্র শংসাপত্রের তুলনায় সস্তা ওয়াইল্ডকার্ডটি পেয়েছে।