एक सार्वजनिक आईपी पते के लिए एसएसएल प्रमाणपत्र?


10

मैंने सिर्फ एक कॉमोडो पॉजिटिव एसएसएल खरीदने की कोशिश की, लेकिन इसे सार्वजनिक आईपी पते का समर्थन नहीं करने के कारण खारिज कर दिया गया, लेकिन इसके बजाय वे केवल एक डोमेन नाम का समर्थन करते हैं।

क्या कोई भी एसएसएल प्रमाणपत्र प्रदाता जानता है जो डोमेन नाम के बजाय सार्वजनिक आईपी पते का समर्थन करता है?

मेरी कंपनी के पास वेब होस्टिंग कंपनी के साथ होस्ट किया गया एक समर्पित सर्वर है, जिसका उपयोग कई प्रोजेक्ट्स (कई क्लाइंट्स के लिए) के लिए बगट्रैक चलाने के लिए किया जाता है। चूंकि इसका उपयोग केवल बगट्रैक के लिए किया जाता है, इसलिए हमें एक डोमेन नाम की आवश्यकता नहीं है (हमारे क्लाइंट अपने ब्राउज़र में सार्वजनिक आईपी टाइप करके इसे एक्सेस करते हैं)।


2
मैं एक डोमेन नाम सेट करूँगा ताकि आपको आईपी पता याद न रहे जब आप किसी ऐसे स्थान पर हों जहाँ आपके पास यह बुकमार्क नहीं है। साथ ही, जब आप आईपी बदलते हैं तो यह पारदर्शी होगा।
मार्क वैग्नर

जवाबों:


16

मुझे लगता है कि आप ऐसा कर सकते हैं, लेकिन जिस तरह से आप इसे करने की कोशिश कर रहे हैं वैसा नहीं है।

एक एसएसएल प्रमाणपत्र एक सार्वजनिक एन्क्रिप्शन कुंजी है जो एक्स 500 संरचना में एक सीएन, या सामान्य नाम, तत्व शामिल है; एक हस्ताक्षरित प्रमाण पत्र एक ऐसा है जहां बाध्यकारी को मौखिक रूप से तीसरे पक्ष के प्रमाणीकरण प्राधिकारी द्वारा प्रमाणित किया जाता है, जो पहले से ज्ञात उपयोगकर्ताओं के लिए एक सार्वजनिक कुंजी का उपयोग कर रहा है (जो आपके ब्राउज़र के अंदर रहने वाले प्रमाणन प्राधिकरण (CA) प्रमाणपत्रों का ढेर है)।

जब आप एक ब्राउज़र के साथ एसएसएल-सुरक्षित वेब साइट पर जाते हैं, तो हस्ताक्षरित सीएन को ब्राउज़र के लिए जाना जाता है। ब्राउज़र इसके साथ क्या करना चाहता है, यह ब्राउज़र पर निर्भर है। जिन ब्राउज़रों के बारे में मैं जानता हूँ कि वे होस्ट नाम से तुलना करने के लिए अनुरोध करते हैं, और त्रुटि यदि यह अलग है (या यदि प्रमाणित बंधन विश्लेषण के लिए खड़ा नहीं है, तो हस्ताक्षरित प्रमाणपत्र ब्राउज़र को नहीं पता है या बाध्यकारी नहीं है- की तारीख, लेकिन यह एक अलग मुद्दा है)। ऐसा कुछ भी नहीं है जो सिद्धांत रूप में आपको सार्वजनिक रूप से हस्ताक्षरित प्रमाणपत्र प्राप्त करने से रोकता है जहां CN एक IP पता है, न कि FQDN (पूरी तरह से योग्य डोमेन नाम) [1], लेकिन यह जादुई रूप से ब्राउज़र की तुलना IP के साथ CN से नहीं करेगा अनुरोधित होस्टनाम के बजाय पता

मुझे संदेह है कि आपकी समस्या को हल करने का सबसे सरल तरीका है अपना सीए शुरू करना, जो करना आसान है, और इसके बारे में कई सार्वजनिक ट्यूटोरियल हैं; एक यहाँ है । एक बार जब आपके अंतिम उपयोगकर्ता आपके CA को अपने ब्राउज़र में आयात करते हैं, तो आपके द्वारा टकसाल के सभी प्रमाणपत्र आधिकारिक रूप से स्वीकार किए जाएंगे।

फिर आपको एक दूसरी समस्या हो सकती है कि आप एक ही IP पते पर बहुत सारी NameVirtualHost साइटें चलाना चाहते हैं। यह ऐतिहासिक रूप से अयोग्य है, क्योंकि (टीएलएस के विपरीत) एसएसएल वार्ता एक कनेक्शन पर कुछ और होने से पहले होती है; अर्थात्, आपके प्रमाणपत्र में एम्बेडेड CN को ग्राहक के समक्ष यह ज्ञात और उपयोग किया जाता है कि ग्राहक यह कहने में सक्षम है कि वे किस मेजबान से जुड़ने का प्रयास कर रहे हैं।

हाल ही में, SNI (सर्वर नेम इंडिकेशन) नामक एक प्रोटोकॉल एक्सटेंशन शुरू किया गया है, जो क्लाइंट और सर्वर को यह इंगित करने की अनुमति देता है कि वे एसएसटी सर्टिफिकेट प्रस्तुत करने से पहले कुछ होस्ट नाम सामान करना चाहते हैं, जिससे सेट के सही एक की अनुमति मिलती है। सर्वर द्वारा दिए जाने वाले प्रमाण पत्र। जाहिरा तौर पर इसके लिए Apache 2.2.10 की आवश्यकता होती है, ओपनएसएसएल का पर्याप्त हालिया संस्करण और ( महत्वपूर्ण रूप से ) क्लाइंट-साइड समर्थन।

इसलिए यदि मुझे वह करना है जो आप करने की कोशिश कर रहे हैं, तो मैं अपने स्वयं के सीए प्रमाण पत्र को देख रहा हूं, अपने अंतिम उपयोगकर्ताओं को बता रहा हूं कि उन्हें उन ब्राउज़रों का उपयोग करना है जो एसएनआई का समर्थन करते हैं और मेरे सीए रूट प्रमाण पत्र का आयात करते हैं, और काटते हैं। प्रत्येक बगट्रैक साइट के लिए मेरे अपने एसएसएल प्रमाणपत्रों पर हस्ताक्षर करना।

[१] ठीक है, आपको ऐसा कोई भी नहीं मिला होगा जो इसे करेगा, लेकिन यह एक कार्यान्वयन विवरण है। जो मैं यहाँ दिखाने की कोशिश कर रहा हूँ वह यह है कि अगर आपने किया भी, तो यह आपकी समस्या का समाधान नहीं करेगा।


4
एक विशिष्ट आवेदन के लिए, क्यों नहीं? यदि यह एप्लिकेशन प्रदाता द्वारा खनन किया जाता है, और आप उस पर भरोसा नहीं करते हैं, तो आप वैसे भी इस एप्लिकेशन के संबंध में खराब हो सकते हैं, क्योंकि उसके पास निजी एसएसएल कुंजी है और चीजों की परवाह किए बिना डिक्रिप्ट कर सकते हैं। और अगर वह उन्हें इतना चिंतित करता है, तो वह अपने प्रत्येक buqtrack साइटों के लिए स्व-हस्ताक्षरित प्रमाणपत्र काट सकता है, और वे उन्हें आवश्यक रूप से आयात कर सकते हैं।
मदहैटर

2
@ टॉम - यदि आप ऊपर दिए गए उदाहरण में आपको प्रमाण पत्र प्रदान करने वाले व्यक्ति पर भरोसा नहीं करते हैं तो आप उनके साथ पहली जगह पर व्यापार क्यों करेंगे? SSL प्रमाणपत्र / द्वारा जारी किया गया है या नहीं, / ज्ञात सीए के समर्थन के साथ, यदि आप 'ऑनलाइन' ऐप में डेटा सौंप रहे हैं, तो आपकी चिंताओं का कम से कम WRT विश्वास है।
रोब मोइर

2
मुझे लगता है कि डर यह है कि जैसा कि कुछ डोमेन के लिए केवल आधिकारिक के रूप में CA को स्थापित करने का कोई तरीका प्रतीत नहीं होता है, एक बार जब वे मेरे CA रूट को स्थापित करते हैं, तो मैं ऑनलाइन बैंकिंग साइटों को अपने बग ट्रैकिंग एप्लिकेशन के रूप में आसानी से प्रमाणित कर सकता हूं। अगर मैं उनके DNS कैश को जहर दे सकता हूं तो मैं उनके ऑनलाइन बैंकिंग पर एक आदमी के बीच में हमला कर सकता हूं। अगर यह वास्तव में उन्हें चिंतित करता है और वे इस परियोजना के लिए एक कस्टम ब्राउज़र का उपयोग नहीं करना चाहते हैं, तो जैसा कि मैंने ऊपर कहा था कि मैं प्रत्येक व्यक्तिगत बगट्रैकर के लिए एक स्व-हस्ताक्षरित प्रमाण पत्र काट सकता हूं, जिसे ग्राहक आवश्यकतानुसार स्थापित कर सकते हैं।
MadHatter

1
टॉम, मैं वास्तव में 'विश्वसनीय' प्रमाण पत्र का उपयोग करने के लिए उस कारण से सहमत हूँ । वास्तव में मैं इससे शत-प्रतिशत सहमत हूं। हालाँकि, यह आपकी मूल टिप्पणी नहीं थी।
रॉब मोइर

1
ज्वलंत डोमेन नाम? मेरी मूल भाषा अंग्रेजी नहीं है, तो क्या आप इसे समझा सकते हैं? इसके अलावा, मेरे बॉस एक सार्वजनिक आईपी का उपयोग करना पसंद करते हैं, हो सकता है कि वह साइट को खोज इंजन द्वारा नहीं ढूंढना चाहते (खोज इंजन साइट का पता लगा सकता है, भले ही उसके पास डोमेन नाम न हो?)
सीरियल इंजन

10

एक रूट सर्टिफिकेट अथॉरिटी है जो मुझे पता है कि सभी प्रमुख ब्राउज़रों के साथ पूर्व-आबादी है और सार्वजनिक आईपी पते पर एसएसएल प्रमाणपत्र जारी करती है: GlobalSign पर एक नज़र डालें । वे आपके प्रमाणपत्र अनुरोध को मान्य करने के लिए RIPE जानकारी पढ़ते हैं, इसलिए आप पहले यह जांचना चाहेंगे कि RIPE प्रविष्टि सही नाम पर जारी की गई है।

प्रतिक्रिया के संबंध में यह प्रविष्टि मिल गई है:

हां , डोमेन नाम खरीदना और उस CN पर SSL प्रमाणपत्र जारी करना बेहतर होगा। यह GlobalSign विकल्प से भी कम महंगा है।

लेकिन , ऐसे मामले हैं जहां CN के रूप में एक सार्वजनिक आईपी के साथ एसएसएल प्रमाणपत्र उपयोगी हैं। कई इंटरनेट प्रदाता और सरकारें डीएनएस इन्फ्रास्ट्रक्चर के आधार पर अवांछित साइटों को ब्लॉक करती हैं। यदि आप किसी प्रकार की साइट की पेशकश कर रहे हैं, जो राजनीतिक कारणों से अवरुद्ध होने की संभावना है, तो यह एक अच्छा विकल्प है कि यह साइट अपने सार्वजनिक आईपी पते के माध्यम से सुलभ हो। इसी समय, आप होगा उन उपयोगकर्ताओं के लिए एन्क्रिप्ट यातायात करना चाहते हैं और आप अपने गैर तकनीक उपयोगकर्ताओं को अपने ब्राउज़र की सुरक्षा अपवाद चेतावनी के माध्यम से क्लिक करने की परेशानी के माध्यम से जाना नहीं चाहते हैं (क्योंकि प्रमाण पत्र की सीएन से मेल नहीं खाता वास्तविक प्रवेश किया गया)। उन्हें अपने बहुत ही जड़ CA स्थापित करना एक परेशानी का और भी अधिक है और यथार्थवादी नहीं है।


विशेष रूप से, "वेब होस्टिंग कंपनी के साथ होस्ट किया गया एक समर्पित सर्वर" के पास शायद ही कोई RIP एंट्री होगी, बल्कि आसपास के नेट में RIPE प्रविष्टि (होस्टिंग कंपनी के बारे में) होगी
Hagen von Eitzen

1

आगे बढ़ें और डोमेन नाम खरीदें। वे सस्ते हैं, इससे सस्ता मत बनो। आपको केवल एक की जरूरत है। शायद यहां तक ​​कि बस बगट्रैकर।यूरोकंपनी.कॉम की स्थापना की जाए।

फिर प्रत्येक बगट्रैकर के लिए, उस नाम के लिए एक उपडोमेन स्थापित करें। उन सभी उप डोमेन में से एक एसएसएल प्रमाणपत्र प्राप्त करें। चूँकि आप विशेष रूप से लागत से कम लगते हैं, जिस कंपनी के साथ आप व्यापार करना चाहते हैं उसे StartSSL कहा जाता है।

http://www.startssl.com/

आप उनका उपयोग करना चाहते हैं इसका कारण यह है कि (प्रमुख ब्राउज़रों द्वारा भरोसेमंद होने के अलावा) उनके प्रमाणपत्रों में एक हाथ और एक पैर की लागत नहीं है। प्रमाणित का सबसे बुनियादी प्रकार वास्तव में, ईमानदारी से, कोई बकवास नहीं है। वे आपकी पहचान को सत्यापित करते हैं, फिर आपको जितनी आवश्यकता हो उतने मुद्दे जारी करते हैं। यदि आप फैनसीर सेरेट्स चाहते हैं (जो आमतौर पर कई सौ रुपये खर्च होते हैं), तो आप एक ही आईपी पर कई डोमेन के लिए एसएसएल का समर्थन करने के लिए 2 साल के लिए $ 50 के आसपास देख रहे हैं।

वे सुपर सस्ते हैं जो आपको मिलता है। वे वास्तविक ग्राहक जारी करते हैं, आपके क्लाइंट ब्राउज़रों द्वारा भरोसा किया जाता है, न कि अन्य स्थानों की तरह 90-दिन के परीक्षण।


1
मुझे नहीं लगता कि मुझे यह समझ में आता है, या तो। एक उचित रूप से जारी एसएसएल प्रमाणपत्र एक पहचान करने वाला टोकन है जो अपने आप में सभी है; प्रमाणपत्र प्राधिकारी समस्या के बाद कोई सेवा प्रदान नहीं करता है। मेरी साइट रैपिडएसएसएल सर्टिफिकेट पर सुरक्षित है, लेकिन अगर वे कल चले गए तो मेरा प्रमाण पत्र उतना ही प्रभावी होगा जितना कि अब है।
मध्याह्न

2
आपके कितने ग्राहक आपके एसएसएल प्रदाता पर पूर्ण पृष्ठभूमि की जाँच करने जा रहे हैं? उन्हें वास्तव में खुदाई करने से पहले यह महसूस करना होगा कि वे एक कंपनी के साथ व्यापार कर रहे थे जिसने एक इजरायली कंपनी के साथ व्यापार किया था। जैसा कि मैडहैटर ने कहा, राजनीतिक अस्थिरता का बहुत कम इस बात से है कि आपका प्रमाणपत्र वैध है या नहीं। एक बार जब यह जारी किया जाता है, तो यह समाप्त होने तक मान्य है, पूर्ण विराम। लेकिन अगर आप तकनीकी रूप से जटिल नहीं हैं तो कुछ के लिए कुछ अन्य रजिस्ट्रार हास्यास्पद पैसे देना चाहते हैं तो यह अच्छा है। SSL सेर सबसे हास्यास्पद घोटालों में से एक हैं।
पॉल मैकमिलन

2
अरे, यह सब लेता है यह उड़ा देने के लिए सिर्फ एक ग्राहक है। क्षमा करें, क्योंकि मैं शुरू से ही बहुत स्पष्ट नहीं हूं। मेरा देश इजरायल के साथ अपने लोगों को व्यापार करने की अनुमति नहीं देता है। बस इतना ही।
सीरियल इंजन

1
हां, यह कहने के लिए एक और उपयोगी चीज होगी। एसएसएल सेटर अनावश्यक रूप से महंगे हैं, लेकिन व्यापार करने के पैमाने पर, लागत लगभग कुछ भी नहीं है।
पॉल मैकमिलन

2
"एक बार जब यह जारी किया जाता है, तो यह समाप्त होने तक मान्य है, पूर्ण विराम।" जब तक इसमें निरसन की जानकारी नहीं होती है, तब तक यह निरस्त हो जाता है, और ग्राहक प्रत्यावर्तन जाँच को लागू करता है। और एक सीए के तहत जा रहा है शायद अपने सभी समारोहों को रद्द करने के लिए मजबूर किया जाएगा। बस '
रयान बोलगर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.