सवाल क्या स्वयं हस्ताक्षरित SSL प्रमाण पत्र सुरक्षित हैं?


मैं एक सुरक्षित कनेक्शन चाहता हूं, जब मैं अपने वेबमेल में लॉग इन करता हूं, phpMyAdmin, आदि।

इसलिए मैंने ओपनएसएसएल के साथ अपने स्वयं के एसएसएल प्रमाणपत्रों पर हस्ताक्षर किए और पोर्ट 443 पर सुनने के लिए अपाचे को बताया।

क्या यह वास्तव में सुरक्षित है? क्या मेरे सभी पासवर्ड वास्तव में एक सुरक्षित और सुरक्षित परत के माध्यम से भेजे गए हैं? अगर मैं एसएसएल प्रमाणपत्र खरीदता हूं तो इससे क्या फर्क पड़ता है Verisign या अपना खुद का हस्ताक्षर करें? दिन के अंत में, सभी डेटा मेरे सर्वर पर वैसे भी होंगे। तो बड़ा अंतर क्या है?


32
2018-02-25 14:44


मूल




जवाब:


यह सब विश्वास के बारे में है। यदि आपको Verisign से एक हस्ताक्षरित प्रमाणपत्र मिलता है तो आप यादृच्छिक क्लाइंट को साबित करते हैं कि आपका प्रमाणपत्र विश्वसनीय है। यदि आप प्रमाण पत्र पर स्वयं हस्ताक्षर करते हैं कि लोग अपने कंप्यूटर पर अपना प्रमाणपत्र स्थापित नहीं कर सकते हैं, तो यह सुनिश्चित नहीं हो सकता कि उन पर हमला नहीं किया जा रहा है मैन-इन-द-बीच हमले

यदि आपका वेबसर्वर अभी आपके द्वारा उपयोग किया जाता है, तो आपको अपने प्रमाणपत्र पर हस्ताक्षर करने के लिए वास्तविक सीए (जैसे Verisign) की आवश्यकता नहीं है। बस उन मशीनों पर प्रमाणपत्र स्थापित करें जिन्हें आप उपयोग करना चाहते हैं और आप जाने के लिए अच्छे हैं।

संपादित करें: तो अपने प्रश्न का उत्तर देने के लिए: हां सब कुछ एन्क्रिप्ट किया गया है और आप सुनिश्चित कर सकते हैं कि कोई भी आपके संवेदनशील डेटा को पढ़ नहीं सकता है यदि आप जानते हैं कि वेब ब्राउज़र में प्रस्तुत प्रमाणपत्र वास्तव में एक है जिसके साथ आपने वेब सर्वर स्थापित किया है।


39
2018-02-25 14:50



सीए का उद्देश्य साबित करना है अन्य लोग कि एक प्रमाणपत्र वह है जो आप कहते हैं कि यह संबंधित है। चूंकि आप पहले से ही जानते हैं कि प्रमाणपत्र कौन सा है, आप अपने सर्वर तक पहुंचने और अपना प्रमाणपत्र प्रस्तुत करने के मामले में, सीए कोई उद्देश्य नहीं देता है। हालांकि, अन्य सुरक्षित रूप से आपके सर्वर तक नहीं पहुंच सकते हैं, क्योंकि उनके पास यह जानने का कोई तरीका नहीं है कि कौन सा प्रमाणपत्र विश्वास करना है। (आप जानते हैं - आपके द्वारा जारी किए गए विश्वास पर विश्वास करें।) - David Schwartz
यह एक उचित दृष्टिकोण भी होगा यदि सर्वर को सीमित संख्या में उपयोगकर्ताओं द्वारा एक्सेस किया जाएगा जो प्रमाण पत्र सत्यापित करने के लिए सीधे संपर्क कर सकते हैं - आपके परिवार के सदस्य, या छोटी कंपनी के कर्मचारी, उदाहरण के रूप में। - bgvaughan
क्या मध्य में एक आदमी जो सीए के साथ समन्वयित हो सकता है, वह स्वयं के हस्ताक्षरित प्रमाण को ओवरराइड कर सकता है? जैसे बॉब ऐलिस की स्वयं-हस्ताक्षरित वेबसाइट से जुड़ता है, स्कायर बॉब भेजता है सीए स्कार द्वारा हस्ताक्षरित एक अलग प्रमाणपत्र के साथ समन्वयित किया जाता है, बॉब का ब्राउजर कभी भी एसएसएल चेतावनी नहीं दिखाता है। क्या यह संभव है? - Hello World


यह सब विश्वास के बारे में है।

मान लें कि आप एक लोकप्रिय वेबसाइट पर जाते हैं जो प्रमाण पत्र प्रस्तुत करता है। यह वेबसाइट कह रही है "यह वह है जो मैं हूं, आप मुझ पर भरोसा कर सकते हैं, क्योंकि मेरे पास किसी के द्वारा हस्ताक्षरित परिचय पत्र है आप भरोसा।"

इस मामले में, 'जिस पर आप भरोसा करते हैं' प्रमाण पत्र लेखकों में से एक है, जिसने (उम्मीद है) आपकी तरफ से प्रमाण पत्र के प्रस्तुतकर्ता की पहचान स्थापित करने में पैर कार्य किया है।

आप वास्तव में भरोसा कर रहे हैं प्रमाण पत्र प्रस्तुत करने वाले व्यक्ति की पहचान में प्रमाणपत्र प्राधिकरण के ट्रस्ट में ब्राउज़र लेखक का विश्वास है। आपके और प्रस्तुतकर्ता के बीच अक्सर एक से अधिक प्राधिकरण भी होते हैं, इसलिए शब्द: 'ट्रस्ट चेन'। [1]

जब आप अपने प्रमाण पत्र पर हस्ताक्षर करते हैं, तो कोई ट्रस्ट श्रृंखला नहीं होती है। आपकी साइट आपके पास अपना प्रमाणपत्र वापस दे रही है। यदि आप अपने ब्राउज़र में अपना खुद का प्रमाणपत्र इंस्टॉल करते हैं आप विश्वास, फिर इसे एक प्राधिकरण के रूप में माना जाता है, जो पहले से स्थापित होते हैं। फिर आपके पास केवल एक लिंक के साथ एक ट्रस्ट श्रृंखला है।

यदि आप अपनी अपनी साइट्स पर जाते हैं और आपका ब्राउज़र आपको चेतावनी देता है कि यह एक अविश्वसनीय प्रमाणपत्र पेश कर रहा है, तो आपको चिंता का कारण होना चाहिए, क्योंकि किसी भी अन्य साइट के साथ जो अविश्वसनीय प्रमाणपत्र प्रस्तुत करता है, आप निश्चित नहीं हो सकते कि आप असली साइट के साथ संवाद कर रहे हैं।

ध्यान दें कि मैंने अभी तक एन्क्रिप्शन का कोई उल्लेख नहीं किया है। प्रमाण पत्र के बारे में हैं पहचान प्रमाणित करना जिस पार्टी के साथ आप संचार कर रहे हैं। भरोसेमंद प्रमाणपत्रों के माध्यम से आपको यह सुनिश्चित करने का एक तरीका है कि आपकी दुकान या बैंक असली है। एक बार जब आप अपनी पहचान स्थापित कर लेंगे, तो आपके बीच संचार सुरक्षित करना अगला कदम है। ऐसा इसलिए होता है कि प्रमाण पत्र भी उनके भीतर इस सुरक्षा को सुविधाजनक बनाने के लिए आवश्यक कुंजी शामिल हैं। मान लीजिए कि आपने अपना एसएसएल सही तरीके से सेट कर लिया है, तो यह कम्युनिकेशन उतना ही सुरक्षित है जितना आप अपनी दुकान या बैंक के साथ करेंगे, और आपके पासवर्ड समान रूप से संरक्षित हैं। [2]

[1] यह किसी भी तरह से एक निर्दोष प्रणाली नहीं है। एक मुक्त बाजार और कम मार्जिन, उच्च मात्रा वाले व्यापार अनिवार्य रूप से लागत काटने की ओर जाता है: http://www.theregister.co.uk/2011/04/11/state_of_ssl_analysis/

[2] कम से कम, संरक्षित पर्याप्त कि किसी के लिए अपने घर में तोड़ने के लिए यह बहुत सस्ता है कि उन्हें अपने क्रैक को तोड़ने के बजाय अपने रहस्यों को हराया जाए: http://xkcd.com/538/


14
2018-02-25 15:20





असल में, स्वयं हस्ताक्षरित प्रमाणपत्र कर सकते हैं सुरक्षित रहें, बस उस मॉडल के तहत नहीं जिसे हम अभी उपयोग कर रहे हैं।


विस्तृत प्रसार सीए (प्रमाणपत्र प्राधिकरण) मॉडल के तहत हर कोई वर्तमान में उपयोग करता है, एक विश्वसनीय सीए द्वारा हस्ताक्षरित प्रमाणपत्र का उद्देश्य प्रमाणीकरण प्रदान करना है।

जब हमें प्रमाण पत्र मिलता है, तो हम वास्तव में देखते हैं कि दीवार में जैक से 1 और 0 आ रहा है; हमें नहीं पता कि वे 1 और 0 कहां से आए हैं। हालांकि, क्योंकि प्रमाण पत्र है पर हस्ताक्षर किए एक सीए द्वारा - कुछ ऐसा है जो उस सीए के अलावा दुनिया में कोई भी नहीं कर सकता - और क्योंकि हम प्रमाण पत्र के मालिक की पहचान को सत्यापित करने के लिए सीए पर भरोसा करते हैं, हम भरोसा करते हैं कि प्रमाणपत्र किससे दावा करता है।

बेशक, अगर सीए समझौता किया गया है या मालिक को सही ढंग से सत्यापित नहीं करता है, सभी दांव बंद हैं।


हालांकि, एक और मॉडल है, जिसके तहत स्वयं हस्ताक्षरित प्रमाणपत्र करना प्रामाणिकता प्रदान करें। इसे कहा जाता है नोटरी मॉडल

अनिवार्य रूप से, एक सीए पर भरोसा करने के बजाय, हम ट्रस्ट को किसी भी संख्या में वितरित करते हैं नोटरी। ये नोटरी प्रमाण पत्र की तलाश में इंटरनेट को खराब करते हैं, जो उन्होंने देखा है, उनके सभी प्रमाणपत्रों का कैश रखते हुए। जब आप पहली बार किसी साइट पर जाते हैं और प्रमाणपत्र प्राप्त करते हैं, तो आप कई वैश्विक स्तर पर वितरित नोटरी पूछते हैं कि उन्होंने जो अंतिम प्रमाणपत्र देखा था वह था। यदि वे जो देख रहे हैं उससे असहमत हैं, तो आप एक मैन-इन-द-बीच हमले का हिस्सा बन सकते हैं।

इस मॉडल के तहत, स्व-हस्ताक्षरित प्रमाणपत्र पूरी तरह से सुरक्षित हैं, जब तक हम मानते हैं कि किसी भी नोटरी को कभी भी अपना प्रमाणपत्र कभी देखे जाने से पहले सर्वर से तुरंत समझौता नहीं किया जाता है।


नोटरी मॉडल अभी भी अपने बचपन में है, और यह संदिग्ध है कि यह कभी भी सीए मॉडल को ले जाएगा (वास्तव में, यह नहीं है - वे टंडेम में इस्तेमाल किया जा सकता है)। अब तक का सबसे आशाजनक परियोजना है Convergence.io, जिसमें फ़ायरफ़ॉक्स के लिए एक प्लगइन है।


11
2018-02-25 19:51





यह विश्वास के बारे में सब कुछ नहीं है ....

एसएसएल कर्ट दो उद्देश्यों को पूरा कर सकता है - 1) वह वेब सर्वर है जिसे आप कनेक्ट कर रहे हैं जिसे आप कनेक्ट करना चाहते हैं; और 2) संचार एन्क्रिप्ट करने के लिए।

आपके पास # 1 के बिना # 2 हो सकता है जो आपने पूरा किया है। तब क्या बचा है यह सत्यापन है कि जिस बॉक्स से आप कनेक्ट कर रहे हैं वह वह है जिसे आप चाहते हैं।

यदि यह मेरा सर्वर है, तो मुझे अपने आप से स्वयं हस्ताक्षरित प्रमाणपत्र का उपयोग करने में कोई समस्या नहीं है - हालांकि कुछ जोखिम है कि कोई मुझे चीजों को खराब कर सकता है ताकि वह मुझे अपने सर्वर से कनेक्ट कर सके। चूंकि कोई भी मेरे और मेरे सर्वर की परवाह नहीं करता है और मेरे पास यहां बहुत कम मूल्य है, मुझे इसमें बहुत अधिक जोखिम नहीं दिख रहा है।

दूसरी तरफ, अगर मेरे सर्वर के बजाय यह तुम्हारा एक सर्वर था, तो मुझे चिंतित होगा।


2
2018-02-25 16:09



क्या आप यह कहने जा रहे थे: "यदि यह आपका सर्वर है तो मैं चिंतित नहीं होगा"? - cherrun
नहीं, उसने कहा "अगर यह मेरा सर्वर है तो मुझे कोई समस्या नहीं है ... यदि यह आपका सर्वर है तो मुझे समस्याएं हैं"। - Francesco
तुम गलत हो आप को अपने सर्वर से कनेक्ट करने के लिए कोई चीज खराब नहीं कर सकती है। उनके पास जारी की गई स्व-हस्ताक्षरित प्रमाणपत्र से मेल खाने वाली कोई कुंजी नहीं है, और आप इसे स्वीकार नहीं करेंगे क्योंकि आप इसे एक अलग प्रमाणपत्र नहीं दे सकते हैं। - David Schwartz
@cherun मेरा मुद्दा था कि मैं मुझ पर भरोसा करता हूं - आप नहीं (या कोई और)। आप खुद पर भरोसा कर सकते हैं / चाहिए। - uSlackr
-1। हैंडशेक के दौरान बातचीत की गई सममित कुंजी का उपयोग करके एन्क्रिप्शन किया जाता है। बेशक, आप दूरस्थ पार्टी की पहचान की जांच करने के लिए प्रमाण पत्र का उपयोग करते हैं, अन्यथा संचार को एन्क्रिप्ट करने में थोड़ा सा बिंदु होगा (यह एक एमआईटीएम हो सकता है)। यदि यह आपका सर्वर और एक स्व-हस्ताक्षरित प्रमाण है, तो अपने प्रमाण को अपने ग्राहक में स्पष्ट रूप से आयात करें। - Bruno