প্রশ্ন লেট এর এনক্রিপ্টের বিনামূল্যে SSL ছাড়া অন্য কোনও SSL শংসাপত্র ব্যবহার করার কোনো কারণ আছে কি?


এর এনক্রিপ্ট করা যাক বিনামূল্যে SSL সার্টিফিকেট প্রদান করা হয়। অন্যান্য, প্রদত্ত শংসাপত্রের তুলনায় কোন ডাউনসাইড আছে যেমন। AWS সার্টিফিকেট ম্যানেজার?


133
2017-08-18 09:29


উত্স


LE যদি স্বাভাবিকভাবেই তার মুক্ত প্রকৃতির কারণে স্বতঃস্ফূর্তভাবে কম নির্ভরযোগ্য হয় তবে আমি বিন্দুবিহীন বিতর্কের বিষয়ে বেশিরভাগ মন্তব্য মুছে ফেলেছি। - Sven♦


উত্তর:


সার্টিফিকেট জীবনকাল

নিরাপত্তা

সংক্ষিপ্ত জীবনকাল ভাল। কেবল কারণ প্রত্যাহার বেশিরভাগই তাত্ত্বিক, অনুশীলনে এটি নির্ভরযোগ্য নয় (পাবলিক PKI ইকোসিস্টেমে বড় দুর্বলতা)।

ম্যানেজমেন্ট

অটোমেশন ছাড়া: দীর্ঘ জীবদ্দশায় আরো সুবিধাজনক। আপনি যদি, যাই হোক না কেন, সার্টিফিকেট পরিচালন স্বয়ংক্রিয় করতে পারে না LE সম্ভবপর হতে পারে না
অটোমেশন সঙ্গে: লাইফস্প্যান ব্যাপার না।

শেষ ব্যবহারকারী ছাপ

শেষ ব্যবহারকারীদের কোন উপায় একটি উপায় বা অন্য কোন সম্ভাবনা আছে।

যাচাই স্তর

নিরাপত্তা

Letsencrypt শুধুমাত্র যাচাইয়ের DV মাত্রা উপলব্ধ।
আপনি যে কোনও অর্থ প্রদানের জন্য একটি সার্টিফিকেট কিনছেন (ডিভিতে শুরু হওয়া, LE এর সাথে একই দাবির স্তর সহ)।

DV = শুধুমাত্র ডোমেইন নাম নিয়ন্ত্রণ যাচাই করা হয়।
OV = মালিক সত্তা (সংস্থা) তথ্য ছাড়াও যাচাই করা হয়।
ইভি = ওভির আরও পুঙ্খানুপুঙ্খ সংস্করণ, যা ঐতিহ্যগতভাবে "সবুজ বার" দিয়ে দেওয়া হয়েছে (তবে "সবুজ বার" শীঘ্রই চলে যাচ্ছে বলে মনে হচ্ছে)।

ম্যানেজমেন্ট

LE ব্যবহার করার সময়, আপনি যে কাজটি করেছেন তাতে প্রয়োজনীয় অটোমেশন স্থাপন করা হয় (এই প্রসঙ্গে, ডোমেন নিয়ন্ত্রণ প্রমাণ করতে)। যে আপনার কাজ উপর নির্ভর করবে কত কাজ।

একটি সার্টিফিকেট ক্রয় করার সময় ডিটি / ওভি / ইভি স্তরের সার্টিফিকেট পেতে কত ম্যানুয়াল কাজ প্রয়োজন হবে তা নির্ধারণ করবে। DV এর জন্য এটি সাধারণত উইজার্ডের মাধ্যমে অর্থ প্রদানের মাধ্যমে এবং কিছু অনুলিপি / আটকে বা কিছু ক্লিক করার কারণে, আপনার পরিচয় নিশ্চিত করার জন্য অতিরিক্ত পদক্ষেপ নেওয়ার জন্য আলাদাভাবে যোগাযোগ করার প্রয়োজনে আপনি অনেক বেশি পরিমাণে গণনা করতে পারেন।

শেষ ব্যবহারকারী ছাপ

শেষ ব্যবহারকারী সম্ভবত বর্তমান ইভি "সবুজ বার" (যা যাচ্ছেন) চিনতে পারে, তারপরে তারা আসলে সার্টিফিকেটের সামগ্রীগুলি দেখতে প্রবণতা দেয় না।
তাত্ত্বিকভাবে, যদিও এটি একটি শংসাপত্রের সাথে আরও স্পষ্টভাবে সহায়ক যা নিয়ন্ত্রণকারী সত্তা সম্পর্কে তথ্য বলে। তবে ব্রাউজার (বা অন্যান্য ক্লায়েন্ট অ্যাপ্লিকেশনগুলি) সাধারণত ব্যবহারকারীর জন্য কোনও প্রভাব ফেলার আগে এটি কার্যকর উপায়ে দেখানো শুরু করতে হবে।

স্থাপন

নিরাপত্তা

ব্যক্তিগত কীগুলি বা অনুরূপ এক্সপোজ করে এমন উপায়ে ভুলভাবে কাজ করা সম্ভব। LE দিয়ে, প্রদত্ত টুলিং যুক্তিসঙ্গত অনুশীলনগুলির কাছাকাছি সেট আপ করা হয়।
একজন ব্যক্তি যিনি জানেন যে তারা কী করছে, ম্যানুয়াল পদক্ষেপ অবশ্যই নিরাপদেও করা যেতে পারে।

ম্যানেজমেন্ট

LE সমস্ত প্রসেস স্বয়ংক্রিয়ভাবে তৈরি করার উদ্দেশ্যে খুব বেশি, তাদের পরিষেবাটি সম্পূর্ণরূপে API- ভিত্তিক এবং স্বল্প জীবদ্দশায়ও কীভাবে সবকিছু অটোমেশন কাছাকাছি কেন্দ্রীভূত হয় তা প্রতিফলিত করে।

কোনও শংসাপত্র কিনলেও নিয়মিত গ্রাহকদের API গুলিকে API সরবরাহ করা হয় (প্রকৃতপক্ষে এই মুহুর্তে আদর্শ নয়) DV ব্যতীত অন্য যেকোনও স্বয়ংক্রিয়ভাবে স্বয়ংক্রিয়ভাবে স্বয়ংক্রিয়ভাবে চালানো কঠিন হবে এবং DV এর সাথে আপনি LE যেটি সরবরাহ করেন সেটি অবশ্যই প্রয়োজনীয়।
আপনি যদি ওভি বা ইভি স্তরের জন্য যাচ্ছেন তবে আপনি সম্ভবত কেবলমাত্র আংশিকভাবে প্রক্রিয়া স্বয়ংক্রিয়ভাবে করতে পারেন।

শেষ ব্যবহারকারী ছাপ

ইনস্টলেশন সঠিকভাবে সম্পন্ন হলে, শেষ-ব্যবহারকারী অবশ্যই এটি কীভাবে সম্পন্ন হয়েছিল তা জানবে না। জিনিসগুলিকে আপগ্রেড করার সম্ভাবনাগুলি (উদাহরণস্বরূপ, পুনর্নবীকরণের সময় নূতনভাবে পুনর্নবীকরণ বা ভুল করার জন্য ভুলে যাওয়া) স্বয়ংক্রিয় প্রক্রিয়া সহ কম।

সার্বিক

সার্টিফিকেট কেনার ঐতিহ্যগত উপায়গুলি বিশেষভাবে দরকারী, যদি আপনি OV / EV সার্টিফিকেটগুলি চান, শংসাপত্র ব্যবস্থাপনা স্বয়ংক্রিয়ভাবে না করেন বা HTTPS এর চেয়ে অন্য প্রসঙ্গে ব্যবহৃত শার্টগুলি চান।


118
2017-08-18 12:46



কিছু ক্ষেত্রে CA-side আপোষের ক্ষেত্রে, একটি বীমা দৃষ্টিভঙ্গি রয়েছে। - John Keates
আপনি কি ইভিতে যাওয়ার একটি উৎস আছে? - Puddingfox
@ পুডিংফক্স গুড পয়েন্ট। আমি বর্তমান অবস্থা সন্ধান করতে হবে এবং প্রয়োজন হলে আরো যোগ্যতা অর্জন করতে হবে। যে বলেন, এটি EV সতর্কতা যা যাচ্ছে না কিন্তু সংশ্লিষ্ট "সবুজ বার" ব্রাউজার UI নির্দেশক হয় না। - Håkan Lindqvist
আমার অভিজ্ঞতায়, আপনি মেইলের জন্য লিট এনক্রিপ্ট ব্যবহার করতে পারেন, তাই এটি সেই উদ্দেশ্যে যথেষ্ট নমনীয়। - Manngo
@ কলদদান্ত হু। আপনি পুনর্নবীকরণ সময়ের প্রতি একবারে স্ক্রিপ্টটি চালান, এবং অবশ্যই অন্য কোনও স্বয়ংক্রিয় পদ্ধতির মতো এটির নজরদারি প্রয়োজন (যা ট্রিগার আগে সার্টিফিকেট মেয়াদ শেষ হয়)। - Jonas Schäfer


একটি সম্পূর্ণরূপে প্রযুক্তিগত দৃষ্টিকোণ থেকে:

  • সার্টিফিকেট শুধুমাত্র 3 মাসের জন্য বৈধ। আপনার পরিবর্তন ব্যবস্থাপনা পদ্ধতি এবং অবকাঠামো উপর নির্ভর করে বজায় রাখা একটি বিরক্তি হতে পারে।
  • লেট এর এনক্রিপ্ট সার্টিফিকেট উদ্দেশ্য সীমিত। আপনি তাদের ইমেইল, কোড সাইনিং বা টাইমস্ট্যাম্পিংয়ের জন্য তাদের ব্যবহার করতে পারবেন না।
    পরিক্ষা কর: openssl x509 -in cert.pem -noout -text

    X509v3 এক্সটেন্ডেড কী ব্যবহার:
                  টিএলএস ওয়েব সার্ভার প্রমাণীকরণ, টিএলএস ওয়েব ক্লায়েন্ট প্রমাণীকরণ

একটি ব্যবহারকারীর দৃষ্টিকোণ থেকে:


75
2017-08-18 11:47



মনে রাখবেন যে Chrome সক্রিয়ভাবে HTTPS এর জন্য বিশেষ কিছু দেখানোর দিকে এগোচ্ছে না এবং পরবর্তীতে OSX এবং iOS এর প্রধান রিলিজটি সাফারি EV এর জন্য বিশেষ কিছু দেখাবে না। মনে হচ্ছে প্রধান ব্রাউজার বিক্রেতারা EV থেকে দূরে চলে যাচ্ছে। শীর্ষ ওয়েব সাইট অনেক এটি ব্যবহার করবেন না। - Greg W
পরিবর্তনের ব্যবস্থাপনা সম্পর্কে বিন্দু সম্পর্কিত, 3 মাসের জীবদ্দশায় পিছনে থাকা ধারণাটি হল যে শার্ট পাওয়ার এবং পুনর্নবীকরণ প্রক্রিয়া সম্পূর্ণভাবে স্বয়ংক্রিয় হতে হবে। যদি, হিসাবে ব্যবহার করা হয়, দী পরিবর্তন স্বয়ংচালিত সেট আপ করা হবে, বার বার সার্টিফিকেট ইনস্টল না। কিন্তু যদি এটি স্বয়ংক্রিয়করণের বিরুদ্ধে নীতি থাকে তবে এটি সম্ভবত এটি কোনও প্রকারে পরিণত হবে। - Håkan Lindqvist
TLS ওয়েব সার্ভার প্রমাণীকরণ সুরক্ষিত করার জন্য যথেষ্ট, উদাঃ। SMTP, IMAP, POP3 সার্ভার। যদিও এটি S / MIME এর জন্য বৈধ নয়। - Michael Hampton♦
মন্তব্যকারীদের জন্য- উপরে উল্লেখ্য যে একটি কমিউনিটি উইকি যে কেউ দ্বারা সম্পাদিত উদ্দেশ্যে - HBruijn
@ রিপার ২34 আপনি মানে সার্ভারফল্ট.কম ওয়েবসাইটের গুরুতর / ব্যবহারকারীর মুখোমুখি আপনি এখন ঠিক আছেন? এই সাইটটি একটি EV সার্টিফিকেট ব্যবহার করে না। না google.com না। অথবা microsoft.com। অথবা cisco.com। এবং ব্রাউজার সবুজ বার আউট phasing হয়। যদি আপনার কাছে কোন EV সার্টিফিকেট গুরুত্বপূর্ণ হয় তবে এটির জন্য অর্থ প্রদান করুন, তবে নিশ্চিতভাবে প্রচুর গুরুত্বপূর্ণ এবং ব্যবহারকারীর মুখোমুখি সাইটগুলি তার মান সম্পর্কে ভিন্ন উপসংহারে এসেছে। - Zach Lipton


আমি এখানে যাক এর এনক্রিপ্ট বিরুদ্ধে ব্যবহৃত আর্গুমেন্ট কিছু কাউন্টার পয়েন্ট দিতে চাই।

সংক্ষিপ্ত জীবনকাল

হ্যাঁ, এ বিষয়ে তাদের ব্যাখ্যা অনুযায়ী সংক্ষিপ্ত জীবনকাল রয়েছে: https://letsencrypt.org/2015/11/09/why-90-days.html পৃষ্ঠাটি উদ্ধৃত করতে:

  1. তারা মূল আপস এবং ভুল ইস্যু থেকে ক্ষতি সীমাবদ্ধ। চুরি করা কী এবং ভুল ইস্যু করা শংসাপত্রগুলি অল্প সময়ের জন্য বৈধ।

  2. তারা অটোমেশনকে উৎসাহিত করে, যা সহজেই ব্যবহারযোগ্যতার জন্য অপরিহার্য। আমরা যদি সমগ্র ওয়েবকে HTTPS এ সরাতে যাচ্ছি, আমরা তা করতে পারব না   সিস্টেম অ্যাডমিনিস্ট্রেটররা ম্যানুয়াল পুনর্নবীকরণ পরিচালনা করতে আশা করা চালিয়ে যান।   একবার ইস্যুকরণ এবং পুনর্নবীকরণ স্বয়ংক্রিয় হয়, ছোট জীবনকাল হবে না   আর বেশী বেশী সুবিধাজনক কোন।

ইভ এর অভাব

ইভি সমর্থনের জন্য কোন পরিকল্পনা নেই। যুক্তি (থেকে https://community.letsencrypt.org/t/plans-for-extended-validation/409):

আমরা আশা করি যে লেটস এনক্রিপ্ট ইভি সমর্থন করবে না, কারণ EV প্রক্রিয়াটি সর্বদা মানুষের প্রচেষ্টার প্রয়োজন হবে, যার জন্য কাউকে অর্থ প্রদানের প্রয়োজন হবে। আমাদের মডেল বিনামূল্যে সার্টিফিকেট ইস্যু করা হয়, যা একটি স্তর অটোমেশন প্রয়োজন যে ইভি সাথে সামঞ্জস্যপূর্ণ মনে হচ্ছে না।

এ ছাড়াও এমন কিছু আছে যা বিশ্বাস করে যে ইভি ক্ষতিকর, এই ব্লগপস্টের মতো (https://stripe.ian.sh/):

উদাহরণস্বরূপ, জেমস বার্টন, সম্প্রতি তার সংস্থা "আইডেন্টিটি যাচাইকৃত" এর জন্য একটি EV সার্টিফিকেট প্রাপ্ত করেছেন। দুর্ভাগ্যবশত, ব্যবহারকারীরা কেবল এই সংস্থার নানানতার সাথে মোকাবিলা করার জন্য সজ্জিত নয়, এবং এটি ফিশিংয়ের জন্য একটি উল্লেখযোগ্য ভেক্টর তৈরি করে।

এই একটি ক্লাসিক বাস্তব বিশ্বের উদাহরণ sslstrip হয়। বৈধভাবে ক্রয় সার্টিফিকেটের সাথে হোমগ্রাফ সাইটগুলি একটি বাস্তব-বিশ্ব আক্রমণ, যার জন্য বর্তমানে EV যথেষ্ট পরিমাণে প্রতিরক্ষা সরবরাহ করে না।


30
2017-08-18 12:43





আপনি একটি সার্টিফিকেট প্রয়োজন না হওয়া পর্যন্ত ওয়েব ছাড়া অন্য কিছু, সেখানে নেই বাস্তব ডাউনসাইড, কিন্তু অবশ্যই অনুভূত বেশী। যদিও সমস্যাগুলি কেবলমাত্র অনুভূত হয় তবে একটি ওয়েবসাইটের মালিক হিসাবে আপনার কাছে অন্য কোনও বিকল্প থাকতে পারে না তবে তাদের ঠিকানা দিতে হবে (যদি ব্যবসা আগ্রহ মধ্যম আঙ্গুল দেখানো নিষিদ্ধ করে)।

একক বৃহত্তম নেতিবাচক সময় হচ্ছে, আপনার সাইটের হিসাবে দেখানো হবে কিছুটা নিকৃষ্ট, সম্ভবত বিপজ্জনক কারণ এটিতে কিছু অন্যান্য সাইট রয়েছে এমন সুন্দর সবুজ ব্যাজ নেই। ব্যাজ মানে কি? সত্যি কিছু না. কিন্তু এটা করে সুপারিশ আপনার সাইট "নিরাপদ" (কিছু ব্রাউজার এমনকি যে সঠিক শব্দ ব্যবহার)। হায়, ব্যবহারকারীরা মানুষ, এবং মানুষ মূঢ়। এক বা অন্য কেউ বিশ্বাসযোগ্য হিসাবে আপনার সাইটটি গ্রহণ করবে না (কোনও প্রভাব বুঝতে না করেই) কারণ ব্রাউজার এটি নিরাপদ বলে না।

এই গ্রাহকদের / দর্শক উপেক্ষা যদি একটি বৈধ সম্ভাবনা, কোন সমস্যা নেই। আপনি যে ব্যবসা-ভিত্তিক সামর্থ্য না করতে পারেন, আপনি করতে হবে টাকা খরচ. অন্য কোন বিকল্প নেই।

অন্যান্য অনুভূত সমস্যা সার্টিফিকেট জীবনকাল সম্পর্কে এক। কিন্তু এটি আসলে একটি সুবিধা, একটি অসুবিধা নয়। অপেক্ষাকৃত কম বৈধতা মানে সার্টিফিকেটগুলিকে প্রায়শই আপডেট করতে হবে সার্ভার-পার্শ্ব এবং ক্লায়েন্ট-সাইড, ঠিক আছে।
সার্ভার-পার্শ্ব হিসাবে, এই সঙ্গে ঘটবে cron কাজ, তাই এটা আসলে কম ঝামেলা এবং অধিক নির্ভরযোগ্য স্বাভাবিকের চেয়ে. কোনও উপায়ে আপনি ভুলে যেতে পারেন, দেরী করার কোন উপায় নেই, গোপনভাবে কিছু ভুল করার উপায় নেই, প্রশাসনিক অ্যাকাউন্টে লগইন করার দরকার নেই (... একবারের বেশি)। ক্লায়েন্ট-পার্শ্ব, তাই কি। ব্রাউজার সব সময় সার্টিফিকেট হালনাগাদ করুন, এটি কোন ব্যাপার নয়। ব্যবহারকারী এমনকি এটি ঘটতে না জানি। প্রতি 2 বছরের পরিবর্তে প্রতি 3 মাসে আপডেট করার সময় খুব সামান্য বেশি ট্র্যাফিক রয়েছে তবে গুরুত্ব সহকারে ... যে একটি সমস্যা হয় না।


5
2017-08-20 13:58



@ হকানলিন্দভভিস্টঃ এটাই সঠিক সমস্যা। আমি একটি ম্যালওয়্যার সাইট সেট আপ করতে এবং 5.99 ডলার খরচ করতে পারি এবং গড় ব্যবহারকারী আমার ম্যালওয়্যার সামগ্রীগুলিতে বিশ্বাস করবে কারণ এটি "সুরক্ষিত" বলে। একই ব্যবহারকারী একটি সম্পূর্ণ-এনক্রিপ্ট সার্টিফিকেট সহ আপনার সম্পূর্ণরূপে ক্ষতিকারক, বৈধ সাইটটি বিশ্বাস করবে না। কারণ, ভাল, এটা নিরাপদ নয়। কিন্তু হায়, এই জিনিসগুলি আপনি কেবল পরিবর্তন করতে পারবেন না। - Damon
LE সার্টিফিকেটটি কেবলমাত্র একটি DV সার্টিফিকেটের উদাহরণ, তবে (যা সম্ভবত আপনি কেবলমাত্র 5.99 ডলারের জন্য পাবেন)। LE Certs বর্তমান ব্রাউজারে "সুরক্ষিত" হিসাবে দেখায়। - Håkan Lindqvist
আপনি অংশ হিসাবে ইমেইল সার্ভার বিবেচনা web? letencrypt শংসাপত্রগুলি আমার জন্য অপর্যাপ্ত ছিল কারণ আমার নিজের ইমেল সার্ভার চালাতে হয়েছিল - hanshenrik
@ হানসেনরিক আপনি মেইল ​​সার্ভারগুলির সাথে ঠিকই LE ব্যবহার করতে পারেন। উদাহরণস্বরূপ, আমি ব্যবহার করি github.com/hlandau/acme আসুন ক্লায়েন্ট এনক্রিপ্ট করি শুধু আমার HTTPS এর জন্য নয়, তবে SMTP, IMAP, POP3, XMPP এ TLS এর জন্যও ... - Matija Nalis
@ হানসেনরিক - আমি আমার মেইল ​​সার্ভারের জন্য LE Certs চালাচ্ছি: কোনও সমস্যা নেই - warren


বিবেচনার ভিত্তিতে downsides দুটি গ্রুপ আছে।

1. ডাউনসাইডগুলি লেট এর এনক্রিপ্ট পরিষেবা ব্যবহার করে

আসুন এনক্রিপ্টের জন্য সঠিক নাম, অথবা (উপ-) ডোমেনের প্রয়োজন হয় যদি আপনি একটি ওয়াইল্ডকার্ডের অনুরোধ করেন তবে এটি সর্বজনীন ইন্টারনেট DNS এ বিদ্যমান। উদাহরণস্বরূপ, যদি আপনি example.com এর উপর নিয়ন্ত্রণ প্রমাণ করেন তবে, লেটস এনক্রিপ্টটি public.no.other.name.in.example.com এর জন্য কোনও সনদপত্র প্রকাশ করবে না যা জনসাধারণের DNS এ দেখাবে। নামযুক্ত মেশিনগুলিতে জনসাধারণের ঠিকানা রেকর্ড নেই, তাদের ফায়ারওয়াল বন্ধ করা যেতে পারে, এমনকি শারীরিকভাবে সংযোগ বিচ্ছিন্ন করা যেতে পারে, তবে জনসাধারণের DNS নামটি বিদ্যমান থাকতে হবে।

চলুন 90 দিনের শংসাপত্রের জীবনী এনক্রিপ্ট করার অর্থটি আপনাকে স্বয়ংক্রিয়ভাবে করতে হবে কারণ এর জন্য সময়টি কেউ পায় নি। এটি আসলে এই উদ্দেশ্যটির উদ্দেশ্য - জনসাধারণকে এই প্রয়োজনীয় কাজ স্বয়ংক্রিয়ভাবে বিপর্যস্ত করার পরিবর্তে ম্যানুয়ালি করে তুলছে, যখন তারা অনেক কঠিন কাজ স্বয়ংক্রিয়ভাবে চালায়। কিন্তু যদি আপনি কোনও কারণে স্বয়ংক্রিয়ভাবে স্বয়ংক্রিয়ভাবে অটোমেটিক না হন তবে এটি যদি নেতিবাচক হয় - যদি আপনার কাছে সরঞ্জাম, যন্ত্রপাতি বা যে কোনও অটোমেশন ব্লক থাকে তবে সেগুলি সরঞ্জাম / সরঞ্জামগুলির চলমান খরচ / ব্যয়বহুল খরচগুলির অংশ হিসাবে কোন বাণিজ্যিক SSL সার্টিফিকেট খরচ বিবেচনা করে। বিপরীতভাবে নতুন সরঞ্জাম / যন্ত্রপাতি / ইত্যাদি মূল্যের বাণিজ্যিক শুল্কগুলি কেনার প্রয়োজন নেই সেগুলি থেকে সঞ্চয়গুলি অফসেট করুন যা এটি স্বয়ংক্রিয় করে (এর সাথে এনক্রিপ্ট করুন বা না)

নিয়ন্ত্রণ অটোমেশন এর লেট এর এনক্রিপ্ট প্রমাণ আপনার প্রতিষ্ঠানের নিয়ম অনুসারে হতে পারে না। উদাহরণস্বরূপ, যদি আপনার এমন কর্মী থাকে যারা Apache পুনঃবিন্যাস করার অনুমতি দেয় তবে কোম্পানির ডোমেন নামগুলির জন্য SSL শার্টগুলি পান না তবে চলুন এনক্রিপ্টটি একটি খারাপ ফিট। উল্লেখ্য, এই ক্ষেত্রে কেবলমাত্র তাদের ব্যবহার করা হয় না তা ভুল থিং (TM) ব্যবহার করা উচিত যা আপনার ডোমেনগুলির জন্য লেট এর এনক্রিপ্টটি স্পষ্টভাবে নিষ্ক্রিয় করতে CAA ব্যবহার করা উচিত।

যদি এর এনক্রিপ্ট নীতিটি আপনাকে অস্বীকার করে তবে কেবলমাত্র "আপিলের আদালত" তার জনসাধারণের ফোরামগুলিতে জিজ্ঞাসা করা এবং তাদের একজন কর্মী এগিয়ে যাওয়ার পথ প্রস্তাব করতে পারে। উদাহরণস্বরূপ, যদি আপনার সাইটের একটি DNS নাম থাকে তবে তাদের সিস্টেমগুলি বড় ব্যাংক বা Google এর মতো কিছু বিখ্যাত বৈশিষ্ট্যগুলির জন্য "বিভ্রান্তিকর অনুরূপ" সিদ্ধান্ত নেয়। বুদ্ধিমান কারণে এই বিষয়ে প্রতিটি পাবলিক CA এর সঠিক নীতিগুলি জনসাধারণের যাচাইয়ের জন্য উন্মুক্ত নয়, তাই আপনি কেবলমাত্র বুঝতে পারেন যে যখন আপনি এটির অনুরোধ করেন তখন আপনাকে একটি লেট এর এনক্রিপ্ট শট থাকতে হবে না এবং "নীতি নিষিদ্ধ করা হবে" প্রতিক্রিয়া পেতে হবে।

2. Downsides একটি যাক এর এনক্রিপ্ট শংসাপত্র নিজেই

আসুন এনক্রিপ্ট সার্টিফিকেটগুলি ISRG এর মাধ্যমে প্রধান ওয়েব ব্রাউজারগুলির দ্বারা আজ বিশ্বস্ত (বিশ্বস্ত লট এর এনক্রিপ্ট পরিষেবা সরবরাহকারী দাতব্য) দ্বারা বিশ্বস্ত। তবে পুরোনো সিস্টেম বিশ্বাস করে যে আইডেনট্রাস্টের মাধ্যমে লেট এর এনক্রিপ্ট করুন, এটি একটি অপেক্ষাকৃত অস্পষ্ট শংসাপত্র কর্তৃপক্ষ যা "ডিএসটি রুট CA X3" নিয়ন্ত্রণ করে। এটি বেশিরভাগ মানুষের জন্য কাজ করে, কিন্তু এটি বিশ্বের সবচেয়ে বিস্তৃত বিশ্বাসযোগ্য রুট নয়। উদাহরণস্বরূপ পরিত্যক্ত নিন্টেন্ডো WiiU কনসোল একটি ওয়েব ব্রাউজার ছিল, সম্ভবত Nintendo WiiU জন্য শিপিং আপডেট হবে না এবং ব্রাউজার পরিত্যক্ত করা হয়, এটা লেট এর এনক্রিপ্ট বিশ্বাস করে না।

চলুন এনক্রিপ্ট শুধুমাত্র ওয়েব পিকেআই-এর জন্য সার্টিফিকেটগুলিকে ইস্যু করি - SSL / TLS প্রোটোকল ব্যবহার করে এমন ইন্টারনেট নামগুলির সার্ভার। সুতরাং এটি অবশ্যই ওয়েব এবং আপনার IMAP, SMTP, কিছু ধরণের ভিপিএন সার্ভার, কয়েক ডজন জিনিস, কিন্তু সবকিছুই নয়। বিশেষ করে চলুন এর এনক্রিপ্টটি S / MIME এর জন্য সার্টিফিকেটগুলি অফার করে না (কেবলমাত্র ট্রানজিটে থাকলে কেবল ইমেলটি এনক্রিপ্ট করার একটি উপায়) বা কোড সাইনিং বা নথি সাইন ইন করার জন্য। যদি আপনি সার্টিফিকেটের জন্য "এক স্টপ শপ" চান তবে এটি লট এর এনক্রিপ্ট ব্যবহার না করার যথেষ্ট কারণ হতে পারে।

এমনকি ওয়েব PKI তেও, লেট এর এনক্রিপ্ট শুধুমাত্র "DV" শংসাপত্রগুলি অফার করে, অর্থাত্ নিজের সম্পর্কে বা FQDN ছাড়া অন্য কোনও সংস্থার সম্পর্কে কোনও শংসাপত্র শংসাপত্রটিতে উল্লেখ করা হয় না। এমনকি যদি আপনি তাদের CSR এ লিখেন তবে তাদের কেবল বাতিল করা হয়। এটি কিছু বিশেষজ্ঞ অ্যাপ্লিকেশনের জন্য একটি ব্লকার হতে পারে।

আসুন অটোমেশন এনক্রিপ্ট মানে আপনি অটোমেশন যা কিছু আছে তা ছাড়া অন্য কোনও কারণ না থাকলেও আপনি কীভাবে ঠিক তা সীমাবদ্ধ। নতুন ধরনের পাবলিক কী, নতুন X.509 এক্সটেনশান এবং অন্যান্য সংযোজনগুলি তাদের নিজের টাইমলাইনে লেট এর এনক্রিপ্ট দ্বারা স্পষ্টভাবে সক্ষম করা উচিত এবং অবশ্যই আপনি দান করতে চান এমন বৈশিষ্ট্যগুলি পেতে আপনি অতিরিক্ত অর্থ প্রদান করতে পারবেন না।

যাইহোক, প্রায় প্রত্যেকের জন্য, প্রায়শই, লেটস এনক্রিপ্টটি আপনার TLS সার্ভারগুলিতে শংসাপত্রগুলি আগুন-এবং-ভুলে যাওয়ার পদ্ধতিতে স্থাপন করার পক্ষে একটি ভাল পছন্দ। আপনি ব্যবহার করবেন অনুমানের সাথে শুরু করুন লেটস এনক্রিপ্ট এই সিদ্ধান্তে পৌঁছাতে একটি বুদ্ধিমান উপায়।


5
2017-08-26 11:07



আমি Nintendo WiiU সমর্থন করে না একটি বিস্ময়কর ব্যাপার, ব্রাউজার সঠিকভাবে প্রদর্শন করতে পারেন যে কিভাবে কয়েক ওয়েবসাইট বিবেচনা। - Dmitry Grigoryev
আপনি "কন্ট্রোল অটোমেশন প্রমাণ" এর অন্তর্গত উল্লেখ করেছেন, কিন্তু আমার অভিজ্ঞতার মধ্যে যে কোনও DV শংসাপত্রটি যেকোনও অনুরূপ স্কিমগুলির সাথে যাচাই করা হবে। এই ক্ষেত্রে, এখানে Comodo প্রস্তাব পদ্ধতি, যা একটি খুব ACME- মত HTTP- ভিত্তিক পদ্ধতি অন্তর্ভুক্ত। দুর্বৃত্ত নিবন্ধন বিরুদ্ধে রক্ষা সম্ভবত সার্টিফিকেট স্বচ্ছতা লক্ষণ পর্যবেক্ষণ দ্বারা পরিচালিত হবে। - IMSoP
সিটি মনিটরের পর্যবেক্ষণটি এই ধরনের পরিস্থিতিতে ভাল ধারণা, এবং হ্যাঁ, শুধুমাত্র দশটি বিশেষ পদ্ধতি রয়েছে (যা বর্তমানে আমি 8 বা 9 টি প্রকৃত পদ্ধতি মনে করি) তাই এক CA থেকে অন্যটিতে আপনি যাচ্ছেন পদ্ধতির একটি ভিন্ন মিশ্রণ এবং ঠিক কিভাবে তারা কাজ করে কিছু বৈচিত্র দেখুন। যাইহোক, পদ্ধতির প্রস্তাবিত পার্থক্য, আপনার পছন্দের পদ্ধতিটি ব্যবহার করার জন্য চুক্তিবদ্ধ বাধ্যবাধকতাগুলি এবং এমনকি কোনও পদ্ধতির অনুমতি দেওয়ার জন্য CAA ক্ষেত্র যুক্ত করার মতো প্রযুক্তিগত ধারণাগুলি CA দ্বারা পরিবর্তিত হতে পারে এবং এর অর্থ হতে পারে যে এটি ব্যবহার করা যায় না এর এনক্রিপ্ট করা যাক। - tialaramex
একটি কংক্রিট উদাহরণ হিসাবে: ফেসবুক একটি বড় বাণিজ্যিক CA সঙ্গে একটি চুক্তি আছে। তারা এখন CA কে তাদের নির্দিষ্ট ডোমেন যেমন facebook.com এবং fb.com এর জন্য সার্টিফিকেট ইস্যু করতে পারে তা নির্দিষ্ট করতে CAA ব্যবহার করে; চুক্তির শর্তাবলী নিশ্চিত করে ফেসবুকের ইন-হাউস টেকনিক্যাল সিকিউরিটি টিমকে নতুন সার্টিফিকেট সাফ করতে হবে। সিএকে এখনো দশটি সুবিধাপ্রাপ্ত পদ্ধতির মধ্যে একটি ব্যবহার করতে হবে তবে চুক্তির জন্য তাদের ফেসবুক নিরাপত্তা কল করতে হবে। - tialaramex


আমি এমন একটি যুক্ত করব যা আমার নিয়োগকর্তাকে কিছুটা এনক্রিপ্ট করে আংশিকভাবে দূরে সরিয়ে দেয়: এপিআই হার সীমাবদ্ধ। স্বল্পমেয়াদী এবং ওয়াইল্ডকার্ড সমর্থনের অভাবের কারণে, স্বাভাবিক স্বয়ংক্রিয় ক্রিয়াকলাপগুলির (স্বয়ংক্রিয় পুনর্নবীকরণ, ইত্যাদি) সময়সীমার হার সীমাবদ্ধ হওয়া খুব সহজ। একটি নতুন সাবডোমেন যুক্ত করার চেষ্টা করা আপনাকে হার সীমাতে ধাক্কা দিতে পারে এবং এলটি একবার আঘাত হবার পরে সীমাটি ওভাররাইড করার কোন উপায় নেই। যদি আপনি পুরানো শংসাপত্রগুলি ব্যাক আপ না করেন (যারা একটি স্বয়ংক্রিয়, ক্লাউড-টাইপ মাইক্রোসার্ভেসেস পরিবেশে যেমন LE envisions পরিবেশে কাজ করবে?) সমস্ত প্রভাবিত সাইটগুলি অফলাইন হয়ে যাবে কারণ LE এই শংসাপত্রগুলি পুনরায় প্রকাশ করবে না।

যখন আমরা বুঝতে পারলাম যে, কি ঘটেছিল তখন "ওহ $ #! #" এর একটি মুহূর্ত ছিল, পরে কেবল অনলাইনে উত্পাদন সাইটগুলি পেতে একটি জরুরী বাণিজ্যিক শংসাপত্র দাবির প্রয়োজন হয়েছিল। এক অধিক যুক্তিসঙ্গত 1 বছর জীবনযাপন সঙ্গে এক। LE কার্যকর সঠিক ওয়াইল্ডকার্ড সমর্থন (এবং এমনকি তারপর) প্রয়োগ না করা পর্যন্ত, আমরা তাদের উত্সর্গীকৃত হতে খুব সতর্ক হতে চলেছি।

TL; DR: LE ওয়াইল্ডকার্ড + API সীমাগুলি "আমার ব্যক্তিগত হোমপৃষ্ঠা" অপ্রত্যাশিতভাবে চ্যালেঞ্জিংয়ের চেয়ে কিছু জটিল পরিচালনা করে এবং পাশাপাশি দরিদ্র নিরাপত্তা অনুশীলন প্রচার করে।


5
2017-08-23 09:58





হ্যাঁ।

নিখরচায় ব্যবহার করা বা ডাউন এর এনক্রিপ্ট SSL সার্টিফিকেট-

সামঞ্জস্য সমস্যা - এর সব প্ল্যাটফর্মের সাথে সামঞ্জস্যপূর্ণ SSL শংসাপত্র এনক্রিপ্ট করুন। দেখ এই লিঙ্ক অসঙ্গতিপূর্ণ প্ল্যাটফর্মের তালিকা জানতে -

কম বৈধতা - একটি লেট এর এনক্রিপ্ট SSL সার্টিফিকেটটি 90 দিনের মত সীমিত বৈধতার সাথে আসে। আপনাকে প্রতি 90 দিনে আপনার SSL শংসাপত্র পুনর্নবীকরণ করতে হবে। যেখানে কমোডোর মতো একটি প্রদত্ত এসএসএস হিসাবে দীর্ঘ মেয়াদীত্বের সাথে 2 বছরের মত আসে।

কোন ব্যবসা বৈধতা - একটি বিনামূল্যে SSL শংসাপত্র শুধুমাত্র ডোমেইন বৈধতা প্রয়োজন। কোনও ব্যবসায়িক সংস্থা বা প্রতিষ্ঠানের বৈধতা সত্তার জন্য ব্যবহারকারীদের বৈধতা নিশ্চিত করার জন্য সংস্থা যাচাইকরণ।

ছোট ব্যবসা বা ব্লগ সাইটের জন্য উপযুক্ত - শেষ মুহুর্তে আমি যোগ করেছি, একটি মুক্ত বা চলুন এনক্রিপ্ট SSL শংসাপত্রটি ডোমেন মালিকানা যাচাইয়ের মাধ্যমে উপভোগ করা যেতে পারে, এটি ব্যবসা বা ইকমার্স ওয়েবসাইটের জন্য উপযুক্ত নয় যেখানে বিশ্বাস এবং সুরক্ষা ব্যবসার জন্য একটি বড় কারণ।

কোন সবুজ ঠিকানা বার - আপনি একটি বিনামূল্যে SSL শংসাপত্রের সাথে একটি সবুজ ঠিকানা বার থাকতে পারে না। একটি বর্ধিত বৈধতা SSL শংসাপত্র ব্রাউজারে সবুজ ঠিকানা বার সহ আপনার ব্যবসার নাম প্রদর্শন করার একমাত্র উপায়।

কোন সহযোগিতা নেই - যদি আপনি লেট এর এনক্রিপ্টের পথের মধ্যে আটকে যান তবে আপনি অনলাইন চ্যাট বা কল সমর্থন পেতে পারেন। আপনি শুধুমাত্র সমস্যা থেকে পরিত্রাণ পেতে ফোরাম মাধ্যমে যোগাযোগ করতে পারেন।

অতিরিক্ত নিরাপত্তা বৈশিষ্ট্য - একটি বিনামূল্যে এসএসএস সার্টিফিকেট বিনামূল্যে ম্যালওয়্যার স্ক্যান, সাইট সীল ইত্যাদি কোন অতিরিক্ত বৈশিষ্ট্য প্রদান করে না।

কোন পাটা - একটি ফ্রি বা লেট এর এনক্রিপ্ট SSL শংসাপত্র কোনও ওয়্যারেন্টির পরিমাণ সরবরাহ করে না, যখন একটি প্রদত্ত SSL শংসাপত্রের পরিমাণ 10,000 ডলার থেকে $ 1,750,000 পর্যন্ত প্রদান করে।

একটি খবর অনুযায়ী, 14,766 আসুন SSL শংসাপত্র এনক্রিপ্ট করে পেপ্যাল ​​ফিশিং সাইটগুলিতে ইস্যু করা হয়েছে কারণ এটি শুধুমাত্র ডোমেন বৈধতা প্রয়োজন

সুতরাং, আমার সুপারিশ অনুযায়ী, একটি SSL শংসাপত্রের জন্য অর্থ প্রদান সত্যিই মূল্যবান।


-1
2017-08-20 16:11



(1) LE পুরোনো সিস্টেমের সাথে শুধুমাত্র অসঙ্গতিপূর্ণ। (2) বৈধতা সময় অটোমেশন কারণে একটি অ-ইস্যু। (3) বৈধতা অন্য কোন DV প্রমাণ হিসাবে একই। (4) LE সার্টিফিকেট কোন ধরনের ORG জন্য উপযুক্ত। (5) সবুজ বার শুধুমাত্র ইভি কার্টের জন্য (এবং নিকট ভবিষ্যতে চলে যাবে)। (6) আমি কোন শংসাপত্র বিক্রেতা জানি না একটি ম্যালওয়্যার স্ক্যান এবং একটি কি সাইট সীল প্রতিদান দিতে অনুমিত? (7) কোন ওয়ারেন্ট কি অপরাধীকে মারতে হবে? (8) শ্যাডিযুক্ত অর্থপ্রদানকারী ক্যাশগুলি ফিশিং সাইটগুলির জন্যও শার্ট বিক্রি করে (9) আপনি যে লিঙ্কটি উল্লেখ করেন সেটি স্বয়ং স্বাক্ষরিত শংসাপত্র নিয়ে আলোচনা করে, এটি সম্পর্কিত নয় - BlueCacti
যখন "অসঙ্গতিপূর্ণ সিস্টেমগুলি" তালিকা 2.3.6 এর আগে অ্যান্ড্রয়েড সংস্করণগুলির মত স্টাফ, যখন Nintendo 3DS এবং Windows XP SP3 এর চেয়ে পূর্বের, এটি 99.999% লোকেদের SSL শার্টগুলির জন্য উদ্বেগের বিষয় নয়। এছাড়াও, আপনার পোস্টের নীচে "কেন আপনার উচিত নয়" লিঙ্কটি শুধুমাত্র স্বাক্ষরিত SSL সম্পর্কে, এটি লেট এর এনক্রিপ্ট শংসাপত্র সম্পর্কে কিছু না বলে, আপনি যে লিঙ্কটির ব্যবহারটি আসলে ভুল। - semi-extrinsic