TLS শংসাপত্রের জন্য একটি সরলীকৃত নির্দেশিকা 📝

ধরা যাক JayP সর্বজনীন ইন্টারনেটের মাধ্যমে youtube.com এর সাথে সংযোগ করতে চায়৷ কোনো যোগাযোগের আগে, কিছু উদ্বেগ দেখা দেবে:

কিভাবে তিনি যাচাই করতে পারেন যে তিনি প্রকৃতপক্ষে ইউটিউবের সাথে যোগাযোগ করছেন? (প্রমাণিকরণ)

কিভাবে JayP জানতে পারে যে কেউ তার বার্তা বাধা দেয়নি? (গোপনীয়তা)

এছাড়াও, তিনি কীভাবে নিশ্চিত হতে পারেন যে কেউ বার্তাটি পরিবর্তন করেনি? (অখণ্ডতা)

আচ্ছা, আসুন প্রতিটি সমস্যা আলাদাভাবে মোকাবেলা করি। সবার আগে, JayP-এর Youtube- এর পরিচয় যাচাই করা উচিত। তার জন্য ইউটিউবের পাবলিক কী দরকার। সর্বজনীন কী ইউটিউবের পরিচয় উপস্থাপন করে।

সমস্যাটি

সমস্যা হল, আক্রমণকারীরা ইন্টারনেটে এক কম্পিউটার থেকে অন্য কম্পিউটারে একটি অনুরোধ আটকানোর উপায় নিয়ে এসেছে এবং একটি ম্যান-ইন-দ্য-মিডল আক্রমণ শুরু করেছে। এই ধরনের আক্রমণের মাধ্যমে, আমাদের আক্রমণকারী চ্যাডি তার নিজের পাবলিক কী ইনজেক্ট করবে এবং JayP কে মনে করবে যে সে ইউটিউবের সাথে যোগাযোগ করছে, আসলে সে চ্যাডির সাথে যোগাযোগ করছে।

চ্যাডি লুকিয়ে তার পাবলিক কী পাঠায়।

এখন আপনার মনে হতে পারে, ভীতিকর, তাই না? লগইন শংসাপত্র বা ক্রেডিট কার্ডের বিবরণের মতো ব্যক্তিগত তথ্য চুরি করা থেকে শুরু করে ম্যালওয়্যার বিতরণ বা অন্যান্য দূষিত লক্ষ্য পর্যন্ত এই ধরনের আক্রমণে কী সম্ভব হতে পারে তা কল্পনা করুন৷ তাহলে, জেপি কীভাবে নিশ্চিত হতে পারেন যে তিনি যে পাবলিক কী পেয়েছেন তা সত্যিই ইউটিউব থেকে এসেছে? সেখানেই ডিজিটাল সার্টিফিকেট আসে। (TADAAA)

তারা নিশ্চিত করে যে সর্বজনীন কীটি প্রকৃতপক্ষে ইউটিউব থেকে আসছে, এবং কোনও দূষিত চ্যাডি থেকে নয়। প্রকৃতপক্ষে, ডিজিটাল সার্টিফিকেট শুধুমাত্র HTTPS এর জন্যই নয়, মেল, IOT এবং VPN এর জন্যও ব্যবহার করা যেতে পারে...

TLS শংসাপত্রের ভিতরে তথ্য

একটি ডিজিটাল শংসাপত্রে বেশ কিছু তথ্য থাকবে, আসুন সবচেয়ে গুরুত্বপূর্ণগুলি অন্বেষণ করি:

• ইস্যুকারী হল তৃতীয় পক্ষ যে এই শংসাপত্রে স্বাক্ষর করেছে, আমরা কিছুক্ষণের মধ্যে এটিতে প্রবেশ করব৷ কিছু মৌলিক তথ্যের মধ্যে সাধারণ নাম, সংস্থা এবং দেশ অন্তর্ভুক্ত থাকবে।

• অবশ্যই, একটি ডিজিটাল শংসাপত্রও এর বৈধতা অন্তর্ভুক্ত করবে, দুটি গুরুত্বপূর্ণ ক্ষেত্র সহ, আগে নয় এবং পরে নয়

• বিষয় হল সার্টিফিকেটের মালিক এবং আমাদের ক্ষেত্রে ইউটিউব হবে। সাবজেক্টটিতে সাধারণ নাম, ঠিকানা এবং সবচেয়ে গুরুত্বপূর্ণভাবে পাবলিক কী-এর মতো তথ্য থাকবে।

• সবশেষে, একটি ডিজিটাল সার্টিফিকেট এর স্বাক্ষর অন্তর্ভুক্ত করে। এটি ইস্যুকারীর স্বাক্ষরিত স্বাক্ষর যা প্রমাণ করে যে এই শংসাপত্রটি খাঁটি।

  
  

  

ডিজিটাল সার্টিফিকেট কে স্বাক্ষর করে?

ডিজিটাল শংসাপত্রগুলি শংসাপত্র কর্তৃপক্ষ নামক সংস্থাগুলির দ্বারা স্বাক্ষরিত হয় (উদাহরণস্বরূপ DigiCert, Comodo, Symantec, Google Trust Services)।

কিন্তু অপেক্ষা করুন, সার্টিফিকেট কর্তৃপক্ষ কি?

ঠিক আছে, সংক্ষেপে, শংসাপত্র কর্তৃপক্ষগুলি ডিজিটাল শংসাপত্র প্রদানের জন্য দায়ী বিশ্বস্ত তৃতীয়-পক্ষ সংস্থা।

শংসাপত্র কর্তৃপক্ষের নিজস্ব পাবলিক এবং প্রাইভেট কী আছে। তার থেকে, আসুন ব্যাখ্যা করা যাক কিভাবে স্বাক্ষর করা হয়।

একটি ডিজিটাল শংসাপত্রে থাকা পূর্বে উল্লেখিত তথ্য একটি SHA-256 অ্যালগরিদম ব্যবহার করে হ্যাশ করা হবে, উদাহরণস্বরূপ। হ্যাশ তৈরি হওয়ার পরে, শংসাপত্র কর্তৃপক্ষ RSA অ্যাসিমেট্রিক কী এনক্রিপশন ব্যবহার করে তার ব্যক্তিগত কী ব্যবহার করে হ্যাশটিকে এনক্রিপ্ট করে। এই এনক্রিপ্ট করা হ্যাশটি একটি শংসাপত্রের স্বাক্ষর, এবং শুধুমাত্র শংসাপত্র কর্তৃপক্ষের পাবলিক কী ব্যবহার করে ডিক্রিপ্ট করা যেতে পারে। শংসাপত্র কর্তৃপক্ষের সর্বজনীন কী সহ যে কেউ এই শংসাপত্রে স্বাক্ষর করেছেন তারা ডিক্রিপ্ট করতে এবং যাচাই করতে পারেন যে শংসাপত্রটি খাঁটি এবং এটিকে টেম্পার করা হয়নি।

যখন ব্রাউজারটি শংসাপত্রটি পায়, তখন এটি একই হ্যাশ অ্যালগরিদম ব্যবহার করে তার পাশের সমস্ত তথ্য হ্যাশ করবে, এই উদাহরণে, SHA-256৷ তারপর, এটি শংসাপত্র কর্তৃপক্ষের কাছ থেকে হ্যাশ প্রাপ্ত করার জন্য শংসাপত্র কর্তৃপক্ষের সর্বজনীন কী ব্যবহার করে স্বাক্ষরটিকে ডিক্রিপ্ট করে। যদি উভয় হ্যাশ মিলে যায়, তাহলে ব্রাউজার নিশ্চিত করতে পারে যে এই শংসাপত্রটি সত্যই দাবি করা শংসাপত্র কর্তৃপক্ষের কাছ থেকে আসছে।

শংসাপত্র কর্তৃপক্ষের জন্য শ্রেণিবিন্যাস

শংসাপত্র কর্তৃপক্ষের জন্য শ্রেণিবিন্যাস বিদ্যমান - মূল শংসাপত্র কর্তৃপক্ষ, এবং মধ্যবর্তী শংসাপত্র কর্তৃপক্ষ।

এই রুট CA সার্ভারের জন্য সরাসরি কোনো ডিজিটাল সার্টিফিকেট জারি করে না। এটি শুধুমাত্র মধ্যবর্তী CA-এর জন্য ডিজিটাল সার্টিফিকেট ইস্যু করে যা তার পক্ষে কাজ করে। মধ্যবর্তী CAগুলি হয় অন্য মধ্যবর্তী CA বা সরাসরি সার্ভারের জন্য ডিজিটাল শংসাপত্র জারি করতে পারে৷

তাই, রুট CA থেকে সার্ভার পর্যন্ত বিশ্বাসের একটি চেইন রয়েছে।

অপারেটিং সিস্টেমগুলি একটি ট্রাস্ট স্টোরের সাথে একত্রিত হয়, যা বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষের একটি তালিকা। অ্যাপল এবং মাইক্রোসফ্টের মতো অপারেটিং সিস্টেম তৈরি করে এমন সংস্থাগুলি এই তালিকাটি বজায় রাখে। তাদের সকলেরই তাদের বিশ্বস্ততা এবং বৈধতা প্রমাণ করার জন্য এক বা একাধিক অডিট করার জন্য একটি রুট সার্টিফিকেট কর্তৃপক্ষের প্রয়োজন।

কিভাবে এই সব ছবির মধ্যে মাপসই?

শুরু থেকে পুরো প্রক্রিয়াটি কল্পনা করা যাক।

প্রথমত, ধরে নেওয়া যাক youtube.com একটি একেবারে নতুন স্টার্টআপ৷ একটি সর্বজনীনভাবে উপলব্ধ ইন্টারনেটে সুরক্ষিত থাকার প্রয়োজনীয়তা বোঝার জন্য, ইউটিউবকে একটি বিশ্বস্ত ডিজিটাল শংসাপত্রের মালিক হতে হবে এবং এটি তার দর্শকদের কাছে উপস্থাপন করতে হবে।

ধাপ 1: ইউটিউব একটি ডিজিটাল শংসাপত্রের জন্য কেনাকাটা করে

প্রথমত, ইউটিউব একটি মধ্যবর্তী সার্টিফিকেট কর্তৃপক্ষের জন্য অনুসন্ধান করে। মনে রাখবেন যে ইন্টারমিডিয়েট সার্টিফিকেট কর্তৃপক্ষ সার্ভার এবং রুট সার্টিফিকেট কর্তৃপক্ষের মধ্যে মধ্যস্থতাকারী। ইউটিউবের ক্ষেত্রে, Google এর নিজস্ব সার্টিফিকেট কর্তৃপক্ষ রয়েছে যাকে বলা হয় Google Trust Services।

একটি মধ্যবর্তী CA বাছাই করার পরে, Youtube একটি শংসাপত্র স্বাক্ষর করার অনুরোধ করে। শংসাপত্র স্বাক্ষরের অনুরোধে এমন তথ্য থাকবে যা Youtube-এর ডিজিটাল শংসাপত্রে অন্তর্ভুক্ত করা হবে, যেমন সাধারণ নাম, সংস্থা এবং সবচেয়ে গুরুত্বপূর্ণভাবে Youtube-এর সর্বজনীন কী। ইউটিউব ইন্টারমিডিয়েট CA-কে সার্টিফিকেট স্বাক্ষর করার অনুরোধ পাঠাবে।

অন্তর্বর্তী শংসাপত্র কর্তৃপক্ষ বিষয়টি হিসাবে উল্লেখ করা মালিক সম্পর্কে তথ্য ধারণকারী CSR যাচাই করবে। তারপরে, এটি ইস্যুকারীর তথ্যের মতো ক্ষেত্রগুলি যোগ করে, যা মধ্যবর্তী শংসাপত্র এবং বৈধতা সম্পর্কে তথ্য, তারপর স্বাক্ষর করার প্রক্রিয়ায় পূর্বে বর্ণিত হিসাবে এই সমস্ত তথ্য স্বাক্ষর করে। স্বাক্ষর করার পর, ইন্টারমিডিয়েট সার্টিফিকেট কর্তৃপক্ষ ইউটিউবের জন্য ডিজিটাল সার্টিফিকেট ফেরত পাঠাবে।

ইউটিউব এখন তার নতুন কেনা ডিজিটাল সার্টিফিকেট তার ওয়েব সার্ভারে সংযুক্ত করতে পারে।

ধাপ 2: JayP ফিটনেস ভিডিও দেখতে youtube.com-এর সাথে সংযোগ করে

তিনি ইউটিউবে সংযোগ করলে, ইউটিউব তার নিজস্ব সার্টিফিকেট এবং ইন্টারমিডিয়েট সার্টিফিকেট কর্তৃপক্ষের সার্টিফিকেট পাঠাবে। মূল শংসাপত্র কর্তৃপক্ষ পাঠানো হবে না কারণ এটি JayP-এর অপারেটিং সিস্টেমে উপলব্ধ। ইউটিউবের শংসাপত্রে ইস্যুকারীর তথ্য অন্তর্ভুক্ত থাকবে, যা মধ্যবর্তী শংসাপত্র কর্তৃপক্ষ। ব্রাউজারটি তাই জানবে যে এই শংসাপত্রটি Google Trust Services Intermediate Certificate Authority দ্বারা স্বাক্ষরিত, এবং এর সার্টিফিকেট থাকবে৷ যেকোনো ডিজিটাল শংসাপত্রে তথ্য থাকবে, এবং একটি স্বাক্ষর থাকবে, যেমনটি পূর্বে ব্যাখ্যা করা হয়েছে। ব্রাউজার তার হ্যাশ মান পেতে সমস্ত তথ্য হ্যাশ করবে। তারপর, এটি ইস্যুকারীর পাবলিক কী ব্যবহার করে স্বাক্ষরটিকে ডিক্রিপ্ট করবে, অন্য কথায়, মধ্যবর্তী শংসাপত্র কর্তৃপক্ষের পাবলিক কী। আবার, মনে রাখবেন যে স্বাক্ষরটি শুধুমাত্র ইস্যুকারীর পাবলিক কী ব্যবহার করে ডিক্রিপ্ট করা যেতে পারে। এর পরে ব্রাউজার দুটি হ্যাশ মান তুলনা করবে, যদি সেগুলি একই হয়, তবে চেইনের এই অংশটি যাচাই করা হবে এবং ব্রাউজারটি মধ্যবর্তী শংসাপত্র কর্তৃপক্ষকে যাচাই করতে এগিয়ে যাবে কারণ ব্যাখ্যা করা হয়েছে, মধ্যবর্তী শংসাপত্র কর্তৃপক্ষ সরাসরি বিশ্বস্ত নয় অপারেটিং সিস্টেম

ঠিক আছে, এখন ব্রাউজার গুগল ট্রাস্ট ইন্টারমিডিয়েট সার্টিফিকেট অথরিটির সার্টিফিকেট যাচাই করবে। এই মধ্যবর্তী শংসাপত্রটি Google Trust Services Root Certificate কর্তৃপক্ষ দ্বারা স্বাক্ষরিত। অনুগ্রহ করে মনে রাখবেন যে এই পদক্ষেপের আগে, আমরা শেষ শংসাপত্র এবং রুট শংসাপত্রের মধ্যে অনেক মধ্যবর্তী শংসাপত্র কর্তৃপক্ষ থাকতে পারি এবং চেইনের প্রতিটি অংশের জন্য একই যাচাইকরণ প্রক্রিয়া ঘটবে।

আমাদের উদাহরণে, আমরা কেবল একটিতে আটকে থাকব। ইন্টারমিডিয়েট সার্টিফিকেট কর্তৃপক্ষের সার্টিফিকেটের স্বাক্ষর রুট সার্টিফিকেট কর্তৃপক্ষের পাবলিক কী দিয়ে যাচাই করা হবে, যেমনটি পূর্বে বলা হয়েছে। রুট সার্টিফিকেট কর্তৃপক্ষের কাছে পৌঁছানোর সময়, সেখানেই চেইন শেষ হয়। রুট সার্টিফিকেট কর্তৃপক্ষ, যা স্ব-স্বাক্ষরিত, জেপির অপারেটিং সিস্টেমের ট্রাস্ট স্টোরে পাওয়া যাবে।

এটাই! ব্রাউজার, এই যাচাইকরণের পরে, আপনার ব্রাউজারের মতো একটি সুন্দর-সুদর্শন লক আইকন প্রদর্শন করবে৷ এখন এটি নিশ্চিত যে যোগাযোগটি সত্যিই ইউটিউবের সাথে এবং এটি নিরাপদ (হুরে)

তিন ধরনের ডোমেইন সার্টিফিকেট

আমরা শেষ করার আগে, আমরা শীঘ্রই তিনটি প্রধান ধরনের TLS শংসাপত্র ব্যাখ্যা করব।

1) একক ডোমেন সার্টিফিকেট

একটি একক ডোমেন শংসাপত্র একটি একক সম্পূর্ণ যোগ্য ডোমেন নাম সুরক্ষিত করার জন্য ডিজাইন করা হয়েছে। এর মানে হল যে শংসাপত্রটি শুধুমাত্র একটি নির্দিষ্ট ডোমেনের জন্য বৈধ এবং কোনো সাবডোমেন বা অতিরিক্ত ডোমেন কভার করে না। উদাহরণস্বরূপ, "www.youtube.com" ডোমেনের জন্য, একটি একক ডোমেন শংসাপত্র শুধুমাত্র সেই ডোমেনকে সুরক্ষিত করবে এবং "academy.youtube.com" বা "blog.youtube.com" এর মতো অন্য কোনো বৈচিত্র নয়।

ক্ষেত্রে ব্যবহার করুন: একক ডোমেন শংসাপত্রগুলি আদর্শ যখন আপনার একটি একক ওয়েবসাইট বা ওয়েব অ্যাপ্লিকেশন থাকে যার জন্য অতিরিক্ত সাবডোমেনের প্রয়োজন হয় না৷ একটি নির্দিষ্ট ডোমেন সুরক্ষিত করার জন্য তারা সবচেয়ে সহজবোধ্য এবং সাশ্রয়ী বিকল্প।

2) ওয়াইল্ডকার্ড সার্টিফিকেট

এর পরে, আমাদের কাছে একটি ওয়াইল্ডকার্ড শংসাপত্র রয়েছে, যা একটি প্রধান ডোমেন এবং এর সমস্ত সাবডোমেনের জন্য একটি একক শংসাপত্র ব্যবহার করে জারি করা এক ধরনের TLS শংসাপত্র। ওয়াইল্ডকার্ড অক্ষর তারকাচিহ্নটি সাধারণ নাম (CN) ক্ষেত্রে বা বিষয় বিকল্প নাম (SAN) ক্ষেত্রে ব্যবহার করা হয় যাতে নির্দিষ্ট ডোমেনের অধীনে কোনো সাবডোমেন কভার করা হয়। উদাহরণস্বরূপ, যদি আপনার কাছে " .youtube.com" এর জন্য একটি ওয়াইল্ডকার্ড শংসাপত্র থাকে তবে এটি "youtube.com," "academy.youtube.com ," blog.youtube.com এবং আরও অনেক কিছুকে সুরক্ষিত করবে ৷

ক্ষেত্রে ব্যবহার করুন: ওয়াইল্ডকার্ড শংসাপত্রগুলি আপনাকে প্রতিটি সাবডোমেনের জন্য পৃথক শংসাপত্রগুলি পরিচালনা এবং পুনর্নবীকরণ করার থেকে বাঁচায়৷ যাইহোক, এটা মনে রাখা অপরিহার্য যে ওয়াইল্ডকার্ড সার্টিফিকেট শুধুমাত্র একটি স্তরের সাবডোমেন কভার করে। উদাহরণস্বরূপ, "*.youtube.com" এর জন্য একটি ওয়াইল্ডকার্ড শংসাপত্র "academy.blog.youtube.com" কভার করবে না।

3) মাল্টি-ডোমেন (SAN) সার্টিফিকেট

একটি মাল্টি-ডোমেন শংসাপত্র, যা একটি বিষয় বিকল্প নামের শংসাপত্র হিসাবেও পরিচিত, আপনাকে একটি শংসাপত্রের মধ্যে একাধিক সম্পর্কহীন ডোমেন সুরক্ষিত করতে দেয়। প্রতিটি ডোমেন বা সাবডোমেন সুরক্ষিত করার জন্য সার্টিফিকেটের সাবজেক্ট অল্টারনেটিভ নেম (SAN) এক্সটেনশনে তালিকাভুক্ত করা হয়েছে।

উদাহরণস্বরূপ, Google এবং অন্যান্য বড় কোম্পানি এই মাল্টি-ডোমেন সার্টিফিকেট ব্যবহার করবে। প্রধান সুবিধাগুলির মধ্যে একটি হবে সরলীকৃত শংসাপত্র ব্যবস্থাপনা: Google অনেকগুলি ওয়েব পরিষেবা এবং অ্যাপ্লিকেশন পরিচালনা করে, প্রত্যেকটির নিজস্ব ডোমেন বা সাবডোমেন রয়েছে৷ মাল্টি-ডোমেন সার্টিফিকেট ব্যবহার করে তারা একাধিক ডোমেন বা সাবডোমেনের জন্য সার্টিফিকেটের ব্যবস্থাপনাকে একক শংসাপত্রে একত্রিত করতে দেয়। এটি শংসাপত্র প্রদান, পুনর্নবীকরণ এবং পর্যবেক্ষণের প্রক্রিয়াকে সুগম করে।

আমার পরবর্তী নিবন্ধে, আমি TLS এর সাথে এনক্রিপশন নিয়ে আলোচনা করব।