[algorithm] एसएसएल प्रमाण पत्र कैसे सत्यापित किए जाते हैं?


Answers

यह ध्यान देने योग्य है कि प्रमाण पत्र खरीदने के अलावा (ऊपर उल्लिखित), आप भी अपना खुद का मुफ्त बना सकते हैं; इसे "स्वयं हस्ताक्षरित प्रमाणपत्र" के रूप में जाना जाता है। एक स्व-हस्ताक्षरित प्रमाणपत्र और खरीदे गए एक के बीच का अंतर सरल है: खरीदे गए एक प्रमाणपत्र प्राधिकरण द्वारा हस्ताक्षरित किया गया है जिसे आपका ब्राउज़र पहले ही जानता है। दूसरे शब्दों में, आपका ब्राउज़र आसानी से खरीदे गए प्रमाणपत्र की प्रामाणिकता को मान्य कर सकता है।

दुर्भाग्य से इसने एक आम गलतफहमी का कारण बना दिया है कि स्वयं-हस्ताक्षरित प्रमाणपत्र व्यावसायिक सीए जैसे गोडाडी और वेरिज़िन द्वारा बेचे जाने वाले लोगों की तुलना में स्वाभाविक रूप से कम सुरक्षित हैं, और यदि आप उनका उपयोग करते हैं तो आपको ब्राउज़र चेतावनियों / अपवादों के साथ रहना होगा; यह गलत है

यदि आप सुरक्षित रूप से एक स्व-हस्ताक्षरित प्रमाणपत्र (या सीए प्रमाण, जिसे बॉबेंस सुझाव दिया गया है) वितरित करते हैं और इसे उन ब्राउज़रों में इंस्टॉल करते हैं जो आपकी साइट का उपयोग करेंगे , यह उतना ही सुरक्षित है जितना खरीदा गया है और यह मध्य-मध्य में कमजोर नहीं है हमले और प्रमाण फर्जी। जाहिर है इसका मतलब है कि यह केवल तभी संभव है जब केवल कुछ लोगों को आपकी साइट पर सुरक्षित पहुंच की आवश्यकता हो (उदाहरण के लिए, आंतरिक ऐप्स, व्यक्तिगत ब्लॉग इत्यादि)।

अपने आप को बचाने के लिए जागरूकता बढ़ाने और अपने जैसे छोटे-छोटे ब्लॉगर्स को प्रोत्साहित करने के हित में, मैंने एक एंट्री-स्तरीय ट्यूटोरियल लिखा है जो प्रमाण पत्र के पीछे अवधारणाओं और सुरक्षित रूप से स्वयं को हस्ताक्षरित प्रमाण बनाने और उपयोग करने के तरीके के बारे में विस्तार से बताता है। (कोड नमूने और स्क्रीनशॉट के साथ पूरा)। यहां एक लिंक है यदि यह भविष्य में किसी और के लिए सहायक हो: http://www.clintharris.net/2009/self-signed-certificates/

Question

एसएसएल प्रमाण पत्र को सुरक्षित रूप से सत्यापित करने के लिए आवश्यक चरणों की श्रृंखला क्या है? मेरी (बहुत सीमित) समझ यह है कि जब आप किसी https साइट पर जाते हैं, तो सर्वर क्लाइंट (ब्राउज़र) को प्रमाणपत्र भेजता है और ब्राउज़र को उस प्रमाणपत्र से प्रमाण पत्र की जारीकर्ता जानकारी मिलती है, फिर समस्याकर्ता से संपर्क करने के लिए इसका उपयोग करता है, और किसी भी तरह की तुलना करता है वैधता के लिए प्रमाण पत्र।

  • यह वास्तव में कैसे किया जाता है?
  • प्रक्रिया के बारे में क्या यह मनुष्यों के बीच में हमलों से प्रतिरक्षा करता है?
  • क्या कुछ यादृच्छिक व्यक्ति को मैन-इन-द-बीच हमलों में उपयोग करने के लिए अपनी स्वयं की सत्यापन सेवा सेट करने से रोकता है, इसलिए सब कुछ "दिखता है" सुरक्षित है?



ग्राहक के पास एसएसएल प्रमाणपत्र प्राधिकरणों की सार्वजनिक कुंजी की पूर्व-बीज वाली दुकान है। सर्वर पर विश्वसनीय होने के लिए तथाकथित "रूट" प्रमाण पत्रों में से एक तक मध्यवर्ती प्राधिकरणों के माध्यम से सर्वर के प्रमाण पत्र से ट्रस्ट की एक श्रृंखला होनी चाहिए।

आप भरोसेमंद अधिकारियों की सूची की जांच और / या बदल सकते हैं। प्रायः आप स्थानीय प्राधिकरण के लिए प्रमाण पत्र जोड़ने के लिए ऐसा करते हैं जिसे आप जानते हैं कि आप भरोसा करते हैं - जैसे कि आप जिस कंपनी के लिए काम करते हैं या जिस स्कूल में आप भाग लेते हैं या नहीं।

आपके द्वारा उपयोग किए जाने वाले क्लाइंट के आधार पर पूर्व-बीजित सूची भिन्न हो सकती है। बड़े एसएसएल प्रमाणपत्र विक्रेता बीमा करते हैं कि उनके रूट कर्ट सभी प्रमुख ब्राउज़रों ($$$) में हैं।

बंदर-इन-द-बीच हमले "असंभव" होते हैं जब तक कि हमलावर के पास विश्वसनीय रूट प्रमाणपत्र की निजी कुंजी न हो। चूंकि संबंधित प्रमाणपत्र व्यापक रूप से तैनात किए जाते हैं, इसलिए इस तरह की निजी कुंजी के संपर्क में आम तौर पर ई-कॉमर्स की सुरक्षा के लिए गंभीर प्रभाव पड़ते हैं। उस वजह से, उन निजी कुंजी बहुत, बहुत बारीकी से संरक्षित हैं।






Links