टीएलएस प्रमाणपत्रों के लिए एक सरलीकृत मार्गदर्शिका 📝

मान लीजिए कि JayP सार्वजनिक इंटरनेट पर youtube.com से जुड़ना चाहता है। कोई भी संचार होने से पहले, कुछ चिंताएँ उत्पन्न होंगी:

वह कैसे सत्यापित कर सकता है कि वह वास्तव में यूट्यूब के साथ संचार कर रहा है? (प्रमाणीकरण)

जेपी को कैसे पता चलेगा कि किसी ने उसका संदेश नहीं पकड़ा है? (गोपनीयता)

साथ ही, वह यह कैसे सुनिश्चित कर सकता है कि किसी ने भी संदेश में कोई बदलाव नहीं किया है? (अखंडता)

खैर, आइए प्रत्येक समस्या से अलग-अलग निपटें। सबसे पहले, JayP को Youtube की पहचान सत्यापित करनी चाहिए। इसके लिए उसे Youtube की सार्वजनिक कुंजी की आवश्यकता है। सार्वजनिक कुंजी यूट्यूब की पहचान का प्रतिनिधित्व करती है।

समस्या

समस्या यह है कि हमलावर इंटरनेट पर एक कंप्यूटर से दूसरे कंप्यूटर पर अनुरोध को रोकने और मैन-इन-द-मिडिल हमला शुरू करने के तरीके लेकर आए हैं। इस तरह के हमले के साथ, हमारा हमलावर चाडी अपनी सार्वजनिक कुंजी इंजेक्ट करेगा और जेपी को लगेगा कि वह यूट्यूब के साथ संचार कर रहा है, जबकि वास्तव में, वह चाडी के साथ संचार कर रहा है।

चाडी चुपचाप अंदर आता है और अपनी सार्वजनिक कुंजी भेजता है।

अब आप सोच सकते हैं, डरावना है, है ना? कल्पना करें कि इस तरह के हमले से क्या संभव हो सकता है, व्यक्तिगत जानकारी जैसे लॉगिन क्रेडेंशियल या क्रेडिट कार्ड विवरण चुराने से लेकर मैलवेयर वितरण या अन्य दुर्भावनापूर्ण लक्ष्य तक। फिर, जेपी कैसे आश्वस्त हो सकता है कि उसे प्राप्त सार्वजनिक कुंजी वास्तव में यूट्यूब से आई है? यहीं पर डिजिटल प्रमाणपत्र आते हैं। (TADAAA)

वे सुनिश्चित करते हैं कि सार्वजनिक कुंजी वास्तव में यूट्यूब से आ रही है, न कि किसी दुर्भावनापूर्ण चैडी से। दरअसल, डिजिटल सर्टिफिकेट का इस्तेमाल सिर्फ HTTPS के लिए ही नहीं, बल्कि मेल, IOT और VPN के लिए भी किया जा सकता है...

टीएलएस प्रमाणपत्र के अंदर की जानकारी

एक डिजिटल प्रमाणपत्र में काफ़ी जानकारी होगी, आइए उनमें से सबसे महत्वपूर्ण जानकारी देखें:

• जारीकर्ता तीसरा पक्ष है जिसने इस प्रमाणपत्र पर हस्ताक्षर किए हैं, हम इस पर थोड़ा विस्तार से विचार करेंगे। कुछ बुनियादी जानकारी में सामान्य नाम, संगठन और देश शामिल होंगे।

• बेशक, एक डिजिटल प्रमाणपत्र में इसकी वैधता भी शामिल होगी, जिसमें दो महत्वपूर्ण क्षेत्र होंगे, न पहले और न बाद में

• विषय प्रमाणपत्र का स्वामी है और हमारे मामले में यूट्यूब होगा। विषय में सामान्य नाम, पता और सबसे महत्वपूर्ण, सार्वजनिक कुंजी जैसी जानकारी शामिल होगी।

• अंत में, एक डिजिटल प्रमाणपत्र में इसके हस्ताक्षर शामिल होते हैं। यह जारीकर्ता द्वारा हस्ताक्षरित हस्ताक्षर है जो साबित करता है कि यह प्रमाणपत्र प्रामाणिक है।

  
  

  

डिजिटल प्रमाणपत्र पर हस्ताक्षर कौन करता है?

डिजिटल प्रमाणपत्रों पर प्रमाणपत्र प्राधिकारी नामक संस्थाओं द्वारा हस्ताक्षर किए जाते हैं (उदाहरण के लिए डिजीसर्ट, कोमोडो, सिमेंटेक, गूगल ट्रस्ट सर्विसेज)।

लेकिन रुकिए, प्रमाणपत्र प्राधिकारी क्या हैं?

खैर, संक्षेप में, प्रमाणपत्र प्राधिकारी डिजिटल प्रमाणपत्र जारी करने के लिए जिम्मेदार विश्वसनीय तृतीय-पक्ष संगठन हैं।

प्रमाणपत्र प्राधिकारियों की अपनी सार्वजनिक और निजी कुंजियाँ होती हैं। उससे, आइए बताते हैं कि हस्ताक्षर कैसे किए जाते हैं।

उदाहरण के लिए, डिजिटल प्रमाणपत्र में शामिल पहले उल्लिखित जानकारी को SHA-256 एल्गोरिदम का उपयोग करके हैश किया जाएगा। हैश उत्पन्न होने के बाद, प्रमाणपत्र प्राधिकारी आरएसए असममित कुंजी एन्क्रिप्शन का उपयोग करके अपनी निजी कुंजी का उपयोग करके हैश को एन्क्रिप्ट करता है। यह एन्क्रिप्टेड हैश प्रमाणपत्र का हस्ताक्षर है, और इसे केवल प्रमाणपत्र प्राधिकारी की सार्वजनिक कुंजी का उपयोग करके डिक्रिप्ट किया जा सकता है। प्रमाणपत्र प्राधिकारी की सार्वजनिक कुंजी वाला कोई भी व्यक्ति जिसने इस प्रमाणपत्र पर हस्ताक्षर किए हैं, वह डिक्रिप्ट कर सकता है और सत्यापित कर सकता है कि प्रमाणपत्र प्रामाणिक है और उसके साथ छेड़छाड़ नहीं की गई है।

जब ब्राउज़र प्रमाणपत्र प्राप्त करता है, तो वह उसी हैश एल्गोरिदम का उपयोग करके अपनी तरफ की सभी जानकारी को हैश कर देगा, इस उदाहरण में, SHA-256। फिर, यह प्रमाणपत्र प्राधिकारी से हैश प्राप्त करने के लिए प्रमाणपत्र प्राधिकारी की सार्वजनिक कुंजी का उपयोग करके हस्ताक्षर को डिक्रिप्ट करता है। यदि दोनों हैश मेल खाते हैं, तो ब्राउज़र पुष्टि कर सकता है कि यह प्रमाणपत्र वास्तव में दावा किए गए प्रमाणपत्र प्राधिकारी से आ रहा है।

प्रमाणपत्र प्राधिकारियों के लिए पदानुक्रम

प्रमाणपत्र प्राधिकारियों के लिए पदानुक्रम मौजूद हैं - मूल प्रमाणपत्र प्राधिकारी, और मध्यवर्ती प्रमाणपत्र प्राधिकारी।

ये रूट सीए वास्तव में सर्वर के लिए सीधे तौर पर कोई डिजिटल प्रमाणपत्र जारी नहीं करते हैं। यह केवल मध्यवर्ती सीए के लिए डिजिटल प्रमाणपत्र जारी करता है जो उसकी ओर से कार्य करते हैं। मध्यवर्ती सीए या तो किसी अन्य मध्यवर्ती सीए के लिए या सीधे सर्वर के लिए डिजिटल प्रमाणपत्र जारी कर सकते हैं।

इसलिए, रूट सीए से लेकर सर्वर तक भरोसे की एक श्रृंखला होती है।

ऑपरेटिंग सिस्टम एक ट्रस्ट स्टोर के साथ आते हैं, जो विश्वसनीय रूट प्रमाणपत्र प्राधिकारियों की एक सूची है। यह सूची Apple और Microsoft जैसी ऑपरेटिंग सिस्टम बनाने वाली कंपनियों द्वारा रखी जाती है। उन सभी को अपनी विश्वसनीयता और वैधता साबित करने के लिए एक या अधिक ऑडिट से गुजरने के लिए रूट प्रमाणपत्र प्राधिकारी की आवश्यकता होती है।

यह सब चित्र में कैसे फिट बैठता है?

आइए शुरुआत से पूरी प्रक्रिया की कल्पना करें।

सबसे पहले, मान लेते हैं कि youtube.com एक बिल्कुल नया स्टार्टअप है। सार्वजनिक रूप से उपलब्ध इंटरनेट पर सुरक्षित रहने की आवश्यकता को समझते हुए, यूट्यूब को एक विश्वसनीय डिजिटल प्रमाणपत्र रखना होगा और इसे अपने आगंतुकों के सामने पेश करना होगा।

चरण 1: यूट्यूब एक डिजिटल प्रमाणपत्र के लिए खरीदारी करता है

सबसे पहले, यूट्यूब एक मध्यवर्ती प्रमाणपत्र प्राधिकारी की खोज करता है। याद रखें कि मध्यवर्ती प्रमाणपत्र प्राधिकारी सर्वर और रूट प्रमाणपत्र प्राधिकारी के बीच मध्यस्थ हैं। यूट्यूब के मामले में, Google के पास अपना स्वयं का प्रमाणपत्र प्राधिकरण है जिसे Google Trust Services कहा जाता है।

एक इंटरमीडिएट सीए चुनने के बाद, यूट्यूब एक प्रमाणपत्र पर हस्ताक्षर करने का अनुरोध करता है। प्रमाणपत्र पर हस्ताक्षर करने के अनुरोध में वह जानकारी शामिल होगी जो Youtube के डिजिटल प्रमाणपत्र में शामिल होगी, जैसे सामान्य नाम, संगठन और सबसे महत्वपूर्ण रूप से Youtube की सार्वजनिक कुंजी। यूट्यूब इंटरमीडिएट सीए को प्रमाणपत्र पर हस्ताक्षर करने का अनुरोध भेजेगा।

मध्यवर्ती प्रमाणपत्र प्राधिकरण सीएसआर को सत्यापित करेगा जिसमें मालिक के बारे में जानकारी होगी जिसे विषय भी कहा जाता है। फिर, यह जारीकर्ता जानकारी जैसे फ़ील्ड जोड़ता है, जो मध्यवर्ती प्रमाणपत्र और वैधता के बारे में जानकारी है, फिर इस सभी जानकारी पर हस्ताक्षर करता है जैसा कि पहले हस्ताक्षर प्रक्रिया में बताया गया है। हस्ताक्षर करने के बाद, मध्यवर्ती प्रमाणपत्र प्राधिकारी यूट्यूब के लिए डिजिटल प्रमाणपत्र वापस भेज देगा।

यूट्यूब अब अपने नए खरीदे गए डिजिटल सर्टिफिकेट को अपने वेब सर्वर से जोड़ सकता है।

चरण 2: फिटनेस वीडियो देखने के लिए JayP youtube.com से जुड़ता है

जब वह यूट्यूब से जुड़ेगा, तो यूट्यूब अपना प्रमाणपत्र और मध्यवर्ती प्रमाणपत्र प्राधिकारियों का प्रमाणपत्र भेजेगा। रूट प्रमाणपत्र प्राधिकारी नहीं भेजा जाएगा क्योंकि यह JayP के ऑपरेटिंग सिस्टम पर उपलब्ध है। यूट्यूब के प्रमाणपत्र में जारीकर्ता की जानकारी शामिल होगी, जो मध्यवर्ती प्रमाणपत्र प्राधिकारी है। ब्राउज़र को पता चल जाएगा कि यह प्रमाणपत्र Google ट्रस्ट सर्विसेज इंटरमीडिएट सर्टिफिकेट अथॉरिटी द्वारा हस्ताक्षरित है, और उसके पास इसका प्रमाणपत्र होगा। जैसा कि पहले बताया गया है, किसी भी डिजिटल प्रमाणपत्र में जानकारी और एक हस्ताक्षर होगा। ब्राउज़र अपना हैश मान प्राप्त करने के लिए सभी जानकारी को हैश करेगा। फिर, यह जारीकर्ता की सार्वजनिक कुंजी का उपयोग करके हस्ताक्षर को डिक्रिप्ट करेगा, दूसरे शब्दों में, मध्यवर्ती प्रमाणपत्र प्राधिकरण की सार्वजनिक कुंजी। दोबारा, याद रखें कि हस्ताक्षर केवल जारीकर्ता की सार्वजनिक कुंजी का उपयोग करके डिक्रिप्ट किया जा सकता है। उसके बाद ब्राउज़र दो हैश मानों की तुलना करेगा, यदि वे समान हैं, तो श्रृंखला का यह हिस्सा सत्यापित है, और ब्राउज़र मध्यवर्ती प्रमाणपत्र प्राधिकारी को सत्यापित करने के लिए आगे बढ़ेगा क्योंकि जैसा कि समझाया गया है, मध्यवर्ती प्रमाणपत्र प्राधिकारियों पर सीधे तौर पर भरोसा नहीं किया जाता है ऑपरेटिंग सिस्टम.

ठीक है, अब ब्राउज़र Google ट्रस्ट इंटरमीडिएट सर्टिफिकेट अथॉरिटी के प्रमाणपत्र को सत्यापित करेगा। यह मध्यवर्ती प्रमाणपत्र Google ट्रस्ट सेवा रूट प्रमाणपत्र प्राधिकारी द्वारा हस्ताक्षरित है। कृपया ध्यान दें कि इस चरण से पहले, हमारे पास अंतिम प्रमाणपत्र और मूल प्रमाणपत्र के बीच कई मध्यवर्ती प्रमाणपत्र प्राधिकारी हो सकते हैं, और श्रृंखला के प्रत्येक भाग के लिए समान सत्यापन प्रक्रिया होगी।

हमारे उदाहरण में, हम केवल एक पर टिके रहेंगे। मध्यवर्ती प्रमाणपत्र प्राधिकारी के प्रमाणपत्र के हस्ताक्षर को रूट प्रमाणपत्र प्राधिकारी की सार्वजनिक कुंजी के साथ सत्यापित किया जाएगा, जैसा कि पहले कहा गया है। रूट प्रमाणपत्र प्राधिकारी तक पहुंचने पर, श्रृंखला यहीं समाप्त होती है। रूट प्रमाणपत्र प्राधिकरण, जो स्व-हस्ताक्षरित है, जेपी के ऑपरेटिंग सिस्टम के ट्रस्ट स्टोर में उपलब्ध होगा।

इतना ही! इस सत्यापन के बाद ब्राउज़र, आपके ब्राउज़र की तरह एक अच्छा दिखने वाला लॉक आइकन प्रदर्शित करेगा। अब यह गारंटी है कि संचार वास्तव में यूट्यूब के साथ है और यह सुरक्षित है (हुर्रे)

तीन प्रकार के डोमेन प्रमाणपत्र

समाप्त करने से पहले, हम शीघ्र ही टीएलएस प्रमाणपत्रों के तीन मुख्य प्रकारों के बारे में बताएंगे।

1) एकल डोमेन प्रमाणपत्र

एकल डोमेन प्रमाणपत्र एकल पूर्णतः योग्य डोमेन नाम को सुरक्षित करने के लिए डिज़ाइन किया गया है। इसका मतलब है कि प्रमाणपत्र केवल एक विशिष्ट डोमेन के लिए मान्य है और इसमें कोई उपडोमेन या अतिरिक्त डोमेन शामिल नहीं है। उदाहरण के लिए, डोमेन "www.youtube.com" के लिए, एक एकल डोमेन प्रमाणपत्र केवल उस डोमेन को सुरक्षित करेगा, न कि "academy.youtube.com" या "blog.youtube.com" जैसे किसी अन्य संस्करण को।

उपयोग के मामले: एकल डोमेन प्रमाणपत्र तब आदर्श होते हैं जब आपके पास एक ही वेबसाइट या वेब एप्लिकेशन हो जिसके लिए अतिरिक्त उपडोमेन की आवश्यकता नहीं होती है। किसी विशिष्ट डोमेन को सुरक्षित करने के लिए वे सबसे सरल और लागत प्रभावी विकल्प हैं।

2) वाइल्डकार्ड प्रमाणपत्र

इसके बाद, हमारे पास एक वाइल्डकार्ड प्रमाणपत्र है, जो एक प्रकार का टीएलएस प्रमाणपत्र है जो एक मुख्य डोमेन और उसके सभी उपडोमेन के लिए एक ही प्रमाणपत्र का उपयोग करके जारी किया जाता है। वाइल्डकार्ड वर्ण तारांकन का उपयोग सामान्य नाम (CN) फ़ील्ड या विषय वैकल्पिक नाम (SAN) फ़ील्ड में यह इंगित करने के लिए किया जाता है कि निर्दिष्ट डोमेन के अंतर्गत कोई उपडोमेन कवर किया गया है। उदाहरण के लिए, यदि आपके पास " .youtube.com" के लिए वाइल्डकार्ड प्रमाणपत्र है, तो यह "youtube.com," "academy.youtube.com ," blog.youtube.com" इत्यादि को सुरक्षित करेगा।

उपयोग के मामले: वाइल्डकार्ड प्रमाणपत्र आपको प्रत्येक उपडोमेन के लिए अलग-अलग प्रमाणपत्रों को प्रबंधित और नवीनीकृत करने से बचाते हैं। हालाँकि, यह ध्यान रखना आवश्यक है कि वाइल्डकार्ड प्रमाणपत्र केवल एक स्तर के उपडोमेन को कवर करते हैं। उदाहरण के लिए, "*.youtube.com" के लिए वाइल्डकार्ड प्रमाणपत्र "academy.blog.youtube.com" को कवर नहीं करेगा।

3) मल्टी-डोमेन (SAN) प्रमाणपत्र

एक बहु-डोमेन प्रमाणपत्र, जिसे विषय वैकल्पिक नाम प्रमाणपत्र के रूप में भी जाना जाता है, आपको एक ही प्रमाणपत्र के भीतर कई असंबंधित डोमेन को सुरक्षित करने की अनुमति देता है। सुरक्षित किया जाने वाला प्रत्येक डोमेन या उपडोमेन प्रमाणपत्र के विषय वैकल्पिक नाम (SAN) एक्सटेंशन में सूचीबद्ध है।

उदाहरण के लिए, Google और अन्य बड़ी कंपनियाँ इन मल्टी-डोमेन प्रमाणपत्रों का उपयोग करेंगी। मुख्य लाभों में से एक सरलीकृत प्रमाणपत्र प्रबंधन होगा: Google बहुत सारी वेब सेवाएँ और एप्लिकेशन संचालित करता है, प्रत्येक का अपना डोमेन या उपडोमेन होता है। मल्टी-डोमेन प्रमाणपत्रों का उपयोग करने से उन्हें एकाधिक डोमेन या उपडोमेन के प्रमाणपत्रों के प्रबंधन को एक ही प्रमाणपत्र में समेकित करने की अनुमति मिलती है। यह प्रमाणपत्र जारी करने, नवीनीकरण और निगरानी की प्रक्रिया को सुव्यवस्थित करता है।

अपने अगले लेख में, मैं टीएलएस के साथ एन्क्रिप्शन पर चर्चा करूंगा।