मुझे SSL प्रमाणपत्र के लिए भुगतान क्यों करना चाहिए?
अधिकांश उपयोगों के लिए, उनके लिए भुगतान करने का कोई अच्छा कारण नहीं है।
अपवादों के सारांश के लिए बहुत नीचे देखें।
चलो एक कदम पीछे लेते हैं और समझाते हैं कि प्रमाणपत्र क्या करते हैं और मोटे तौर पर कैसे।
आमतौर पर "सर्टिफिकेट" कहा जाता है जिसमें दो जुड़े हुए टुकड़े होते हैं:
- प्रमाण पत्र उचित है, जो एक सार्वजनिक कुंजी और कुछ पहचान (जैसे एक डोमेन नाम के रूप में) में शामिल है।
- निजी कुंजी है, जो धारक (और केवल धारक) को डिजिटल रूप से इस तरह से है कि वे ऊपर प्रमाणपत्र का उपयोग सत्यापित किया जा सकता में संदेशों पर हस्ताक्षर करने के लिए अनुमति देता है।
यदि आप एक प्रमाण पत्र चाहते हैं yourdomain.com
, तो आप:
- एक निजी / सार्वजनिक कीपर बनाएँ, और निजी हिस्से को, अच्छी तरह से, निजी रखें।
yourdomain.com
अपनी सार्वजनिक कुंजी के साथ एक प्रमाण पत्र बनाने के लिए किसी विश्वसनीय तृतीय पक्ष ("क्रेडिकोर") से पूछें ।
- किसी तरह से साबित करें कि आप नियंत्रित करें
yourdomain.com
।
- अपने सर्वर पर निजी कुंजी और प्राप्त प्रमाण पत्र डालें, और उन्हें उपयोग करने के लिए वेब सर्वर को कॉन्फ़िगर करें।
फिर, यदि ऐलिस का दौरा किया yourdomain.com
जाता है, तो उसके ब्राउज़र को आपके निजी सर्वर द्वारा हस्ताक्षरित संदेश के साथ आपके वेब सर्वर से प्रमाण पत्र मिलता है। फिर उसका ब्राउज़र तीन चीजों की जाँच करता है:
- उस हस्ताक्षरित संदेश को आपके प्रमाणपत्र द्वारा प्रमाणित किया जा सकता है (यह साबित करते हुए कि यह केवल उसी निजी कुंजी द्वारा हस्ताक्षरित
yourdomain.com
है)।
- प्रमाणपत्र का डोमेन वह डोमेन है जिसे ब्राउज़र देखने की कोशिश कर रहा है (
yourdomain.com
)।
- यह प्रमाण पत्र CrediCorp का है।
इन तीन चीजों के संयोजन से ऐलिस की गारंटी मिलती है कि वह वास्तव में बात कर रही है yourdomain.com
, न कि कुछ अधीर से ... बशर्ते कि ऐलिस क्रेडेंकोर्प पर भरोसा करे ।
( इस प्रामाणिकता को गोपनीयता में बदलने के लिए कुछ क्रिप्टो वूडू नृत्य का भी अनुसरण किया गया है।)
ऐलिस CrediCorp पर कैसे भरोसा करता है ?
यहाँ असली क्रूर है। संक्षेप में, कुछ बिंदु पर CrediCorp ने कहा "अरे, हम प्रमाण पत्र बनाने जा रहे हैं"। बहुत सारे नियमों का पालन करने के बाद बहुत सारे प्रयास करने के बाद , वे कुछ लोगों को यह समझाने में कामयाब रहे कि क्रेडाईकॉर्प वास्तव में, भरोसेमंद हैं, और वे केवल सही तरीके से प्रमाण पत्र जारी करेंगे।
विशेष रूप से, वे फ़ायरफ़ॉक्स, के निर्माताओं को समझाने में कामयाब रहे। नतीजतन, CrediCorp फ़ायरफ़ॉक्स की ए-सूची पर हो जाता है, और उनके प्रमाण पत्र फ़ायरफ़ॉक्स द्वारा डिफ़ॉल्ट रूप से विश्वसनीय होते हैं। तो वास्तव में, ऐलिस फ़ायरफ़ॉक्स पर भरोसा करता है, फ़ायरफ़ॉक्स क्रेडाइकॉर्प पर भरोसा करता है, और क्रेडिकोर्प ने आपके द्वारा नियंत्रित होने का दावा करने के बाद आपको भरोसा दिया (सत्यापित करने के बाद) yourdomain.com
। यह लगभग एक श्रृंखला की तरह है ।
लेकिन, फ़ायरफ़ॉक्स सिर्फ प्रमाण पत्र जारी करने के लिए CrediCorp पर भरोसा नहीं करता है yourdomain.com
, यह किसी भी डोमेन के लिए CrediCorp प्रमाणपत्रों पर भरोसा करता है । और फ़ायरफ़ॉक्स भी ShabbyCorp पर भरोसा करता है, किसी भी डोमेन के लिए।
इसके परिणाम हैं। अगर कोई शब्बीकॉर्प को यह समझाने में कामयाब होता है कि वे नियंत्रण करते हैं yourdomain.com
(क्योंकि शब्बीकोर्प बहुत अच्छी तरह से नहीं है), तो वे yourdomain.com
संबंधित निजी कुंजी के साथ शब्बीकोर्प प्रमाणपत्र प्राप्त कर सकते हैं । और उस प्रमाण पत्र के साथ वे आपके वेब सर्वर को प्रतिरूपित कर सकते हैं। आखिरकार, उनके पास एक प्रमाण पत्र (प्लस कुंजी) है, yourdomain.com
जिस पर फ़ायरफ़ॉक्स द्वारा भरोसा किया जाता है!
CrediCorp और ShabbyCorp को सर्टिफिकेट अथॉरिटी , सीए फॉर शॉर्ट कहा जाता है । वास्तविक दुनिया में, ComodoSSL और लेट्स एनक्रिप्ट, CA के उदाहरण हैं। लेकिन उनमें से एक बहुत अधिक है; इस लेखन के रूप में, फ़ायरफ़ॉक्स 154 सीए पर भरोसा करता है ।
वाह। लेकिन यह मेरे सवाल का जवाब कैसे देता है?
मैं अहम् हूँ, उस से ...
ये रही चीजें। ऊपर दिए गए मैकेनिक्स मैं सभी प्रमाणपत्रों पर लागू होते हैं। यदि आपके पास अपनी वेबसाइट के लिए एक सही, विश्वसनीय प्रमाण पत्र है, तो यह काम करेगा। ब्रांड ए प्रमाणपत्र बनाम ब्रांड बी प्रमाण पत्र के बारे में कुछ खास नहीं है; वे सभी एक ही सीए आवश्यकताओं, और एक ही क्रिप्टो गणित के अधीन हैं।
और यहां तक कि अगर आप CrediCorp को बेहतर पसंद करते हैं - क्योंकि आप जानते हैं, वे सिर्फ बहुत अधिक भरोसेमंद ध्वनि करते हैं - उनका उपयोग करना वास्तव में आपकी मदद नहीं करेगा। यदि कोई हमलावर शब्बीकॉर्प को आपकी साइट के लिए प्रमाण पत्र देने के लिए मना सकता है, तो हमलावर उस प्रमाणपत्र का उपयोग आपकी साइट पर प्रतिरूपण करने के लिए कर सकता है, भले ही आप कहीं भी हों।
जब तक फ़ायरफ़ॉक्स ShabbyCorp पर भरोसा करता है, तब तक आगंतुकों को अंतर दिखाई नहीं देगा। (हां, आगंतुक प्रमाणपत्र को खींच सकते हैं, और वहां से खुदाई कर सकते हैं, देखें कि इसे किसने जारी किया है। लेकिन कौन ऐसा करता है?) जहां तक प्रमाण पत्र बनाने का सवाल है, यह पूरी प्रणाली को 150+ सीए के सबसे कमजोर के रूप में कमजोर बनाता है। क्यों हाँ, यह डरावना है, और यह शायद सबसे बड़ी आलोचना लोगों को इस पूरी योजना है। फिर भी, यह वही है जिसके साथ हम फंस गए हैं।
बिंदु है, यदि आप "अच्छा" प्रमाण पत्र देने के लिए किसी सीए पर भरोसा नहीं करते हैं, तो आपके प्रमाण पत्र कहीं और प्राप्त करने से आपको बहुत मदद नहीं मिलती है।
मिल गया, सब कुछ समान रूप से बर्बाद है। कोई चेतावनी नहीं?
Weeeelllll ...
आइए अंतिम बिंदु में मेरे द्वारा किए गए बिंदु को मारने के साथ शुरू करें। आजकल डीएनएस-सीएए का उपयोग करके अपने डोमेन को सिर्फ सीए को चुनना संभव है । मान लीजिए कि आप कोमोडो पर भरोसा करते हैं, और अन्य सीए पर भरोसा नहीं करते हैं, तो आपके डोमेन के लिए प्रमाणपत्र जारी नहीं करने के लिए कोमोडो के अलावा सभी सीए से अनुरोध करना संभव है। सिद्धांत रूप में। (क्योंकि DNS-CAA को केवल CA जारी करके ब्राउज़रों द्वारा चेक नहीं किया जाता है। इसलिए एक समझौता किया हुआ CA इस सुरक्षा गार्ड की उपेक्षा कर सकता है।)
यदि आप उस परेशानी से गुजरने के लिए तैयार हैं, तो यह सवाल बन जाता है: लेट्स एनक्रिप्ट वास्तव में कम भरोसेमंद है? या कम सुरक्षित है? विश्वसनीयता एक कठिन है, आप इसे कैसे निर्धारित करते हैं? मैं केवल इतना कह सकता हूं कि मेरी धारणा में आइए एनक्रिप्ट अन्य सीए की तुलना में कम भरोसेमंद नहीं है। उनकी मान्यताओं की सुरक्षा के लिए, वे वाणिज्यिक सीए क्या करते हैं (डीवी प्रमाण पत्र के लिए वैसे भी) के समान हैं। यह प्रश्न भी देखें ।
इसके लायक क्या है: StackExchange नेटवर्क, जो इस साइट का एक हिस्सा है, वर्तमान में लेट्स एनक्रिप्ट क्रिप्ट का उपयोग करता है। अधिकांश लोग इस पर कभी गौर नहीं करेंगे, और अगर उन्होंने ईमानदारी से संदेह किया तो यह उनके लिए बहुत मायने रखेगा।
एक प्रमाण पत्र सार्थक होने के लिए, जारी करने वाले सीए को सॉफ़्टवेयर विक्रेताओं द्वारा भरोसा किया जाना चाहिए , अन्यथा प्रमाणपत्र बेकार है। मैंने फ़ायरफ़ॉक्स का उपयोग एक उदाहरण के रूप में किया था, लेकिन वास्तव में आप चाहते हैं कि सीए को फ़ायरफ़ॉक्स, क्रोम, विंडोज, मैक ओएस एक्स, आईओएस, और एंड्रॉइड के कम से कम वर्तमान और कुछ पुराने संस्करणों द्वारा भरोसा किया जाए। और दर्जनों छोटे खिलाड़ी। विचार करने लायक सीए (जिसमें कोमोडोएसएसएल और लेट्स एनक्रिप्ट शामिल हैं) इन सभी संस्थाओं द्वारा विश्वसनीय हैं।
यदि कोई CA दुर्व्यवहार करता है, या असत्य के रूप में प्रकट होता है, तो यह प्रमाणपत्र मालिकों के दिन को बर्बाद करने के लिए विभिन्न ट्रस्ट स्टोर्स से जल्दी से हटा दिया जाएगा । दो उल्लेखनीय उदाहरण मुझे पता है कि DigiNotar और StartCom / WoSign हैं (लेख देखें, वे ट्रस्ट डायनामिक्स में दिलचस्प जानकारी प्रदान करते हैं!)। तो अगर आपको लगता है कि चलो एनक्रिप्ट एन्क्रिप्ट हो जाएगा, या किसी अन्य कारण से गिरा दिया जाएगा, तो उनका उपयोग न करने से आप उस विशेष गिरावट में फंसने से बच जाएंगे।
प्रमाण पत्र कुछ क्रिप्टो गणित जादू को रोजगार देते हैं ; सवाल यह है कि कौन सा क्रिप्टो गणित जादू है ? अगर यह कमजोर जादू है तो क्या होगा? यह वास्तव में एक वास्तविक चिंता का विषय है, और सीए ने इसे उन्नत करने के लिए अपने पैरों को खींचने के लिए दिखाया है। सौभाग्य से, ब्राउज़र विक्रेताओं ने प्रमाण पत्र स्वीकार किए जाने के लिए यहां न्यूनतम सेट करके स्लैक उठाया है। उदाहरण के लिए, RSA-1024 या SHA-1 का उपयोग करने वाले प्रमाणपत्र अब अधिकांश ब्राउज़रों द्वारा अस्वीकार कर दिए गए हैं, इसलिए कोई भी प्रमाणपत्र जो व्यवहार में काम करता है, इन अस्वीकृत क्रिप्टो प्राइमेटिव का उपयोग नहीं करता है। अब तक, इस भाग को निराश करने के लिए किसी भी सीए (चलो एनक्रिप्ट शामिल) के लिए यह बहुत कठिन है ।
इससे पहले, मैंने कम या ज्यादा कहा कि सभी प्रमाण पत्र समान रूप से बनाए गए हैं। मैंने झूठ बोला, वे नहीं हैं। विशेष रूप से, जो मैंने अब तक चर्चा की वह " डोमेन वैध (डीवी) प्रमाण पत्र" हैं, जो कि अधिकांश वेबसाइटों का उपयोग करते हैं। वे निश्चितता प्रदान करते हैं कि आपका ब्राउज़र वास्तव में उस डोमेन से बात कर रहा है जिसे वह URL बार में दिखाता है। "ऑर्गनाइज्ड वैलिडेट (OV)" और " एक्सटेंडेड वैलिडेशन (EV)" सर्टिफिकेट भी हैं, जिन्हें CA से अधिक विस्तृत जांच की आवश्यकता होती है। विशेष रूप से, आप केवल के लिए एक EV प्रमाण पत्र प्राप्त करने में सक्षम होना चाहिए somebank.com
, / SomeBank इंक यदि आप वास्तव में साबित कर सकते हैं कि आप कर रहे हैं SomeBank, Inc
EV प्रमाण पत्र प्राप्त करने के लिए बहुत अधिक महंगे हैं (बॉलपार्क: प्रति वर्ष सैकड़ों EUR / USD), और उन्हें ब्राउज़र में हरे URL बार या पैडलॉक के साथ पुरस्कृत किया जा सकता है, शायद "SomeBank, Inc." प्रदर्शित करता है। भी। DV प्रमाणपत्रों के विपरीत, वे कुछ विचार भी प्रस्तुत करते हैं कि वेबसाइट वास्तव में किसकी है। उल्टा है, वे अधिक वैध लग सकता है। निराशा है, उपयोगकर्ताओं को शायद ही कभी उन पर ध्यान देना है, इसलिए उनकी प्रभावशीलता सीमित है।
जाली डीवी प्रमाण पत्र वाला एक हमलावर अभी भी साइट को प्रतिरूपित कर सकता है, बिना अतिरिक्त दृश्य सुराग के एक ईवी प्रमाण पत्र पेश कर सकता है, और उपयोगकर्ता आमतौर पर अंतर को नोटिस नहीं करते हैं। इसके विपरीत, फ़िशिंग को आसान बनाने के लिए एक भ्रामक EV प्रमाण पत्र प्राप्त करना संभव है। परिणामस्वरूप, क्रोम और फ़ायरफ़ॉक्स दोनों ही ईवी प्रमाणपत्रों के लिए अपने दृश्य नोड्स को छोड़ देंगे, और कुछ लोगों का मानना है कि वे पूरी तरह से चले जाएंगे।
यदि आप एक बैंक हैं, तो आप अभी भी अभी के लिए EV प्रमाणपत्र चाहते हैं। नहीं तो इतना नहीं। लेकिन अगर आप कर ईवी की जरूरत है, आइए एन्क्रिप्ट नहीं आप के लिए है क्योंकि वे बस EV प्रमाणपत्र की पेशकश नहीं करते है।
प्रमाणपत्र सीमित समय के लिए ही मान्य हैं । एक विशिष्ट वाणिज्यिक सीए से प्रमाण पत्र एक वर्ष के लिए मान्य होते हैं, लेकिन मैंने तीन महीने से तीन साल तक कुछ भी देखा है। मान लें कि एन्क्रिप्ट प्रमाण पत्र 90 दिनों के लिए मान्य हैं , जो उस सीमा के नीचे है, इसलिए आपको उन्हें अक्सर नवीनीकृत करना होगा। उपयोगकर्ताओं को एन्क्रिप्ट करने के लिए, यह आमतौर पर स्वचालित होता है ताकि प्रमाणपत्र हर 60 दिनों में बदल दिए जाएं।
व्यापक रूप से उपलब्ध सॉफ़्टवेयर के साथ नवीनीकरण को स्वचालित करने में सक्षम होने के नाते वास्तव में वार्षिक ओह से अधिक सुखद है कि मेरा प्रमाण पत्र समाप्त हो गया है? सीए में मेरा लॉगिन क्या है? यह फिर से कैसे काम करता है? अनुष्ठान कि ज्यादातर छोटी साइटें वाणिज्यिक सीए के साथ समाप्त होती हैं।
इससे पहले, मैंने इसे डरावना कहा था कि हम पर भरोसा करने के लिए बहुत सारे सीए हैं। हालांकि, कई सीए होने का एक फायदा यह भी है कि इस मायने में कि हमारे ट्रस्ट स्टोर्स से किसी एक को हटाने का उपयोगकर्ताओं पर सीमित प्रभाव पड़ता है। विशेष रूप से, एकल CA को निष्कासित करने से केवल उसी CA द्वारा जारी किए गए प्रमाणपत्र प्रभावित होंगे। यदि सभी एक ही सीए का उपयोग करते हुए समाप्त हो जाते हैं (जो कुछ लोगों को डर हो सकता है कि चलो एनक्रिप्ट करें ), हम अपने सभी ट्रस्ट को वहां केंद्रित करते हैं, और उस विखंडन के फायदे खो देते हैं।
और अंत में, एक अन्य लाभ है जो एक भुगतान किया गया सीए प्रदान कर सकता है, जैसे वाणिज्यिक समर्थन, या एक मिलियन-डॉलर एसएसएल वारंटी । मुझे इन दोनों पहलुओं में थोड़ा विश्वास है, लेकिन वे ऐसी चीजें हैं जो लेट्स एनक्रिप्ट नहीं करती हैं।
मेरे सिर में दर्द होता है ... मेरा सवाल था, मुझे लगता है?
जिस चीज़ के साथ आप सहज महसूस करते हैं, उसका उपयोग करें! DV प्रमाणपत्रों के लिए, बहुत कम है जो वास्तव में विभिन्न सीए को अलग करता है। मैं पेशेवर और निजी तौर पर दोनों को एन्क्रिप्ट करता हूं, और मैं इससे खुश हूं।
वास्तव में केवल चार संभावित कारण हैं जो मुझे एनक्रिप्ट करने से बचने के लिए देखते हैं:
- यदि आपको ईवी (या ओवी) प्रमाणपत्रों की आवश्यकता है।
- यदि आप प्रमाणपत्र नवीनीकरण को स्वचालित नहीं कर सकते हैं या नहीं करना चाहते हैं और आपके लिए तीन महीने का प्रमाणपत्र वैधता बहुत कम है।
- यदि आपको लेट एनक्रिप्ट का भरोसा नहीं है (लेकिन DNS-CAA जैसे अन्य उपायों पर भी विचार करना सुनिश्चित करें, और आपको संभवतः अपने ब्राउज़र में भी आइए एन्क्रिप्ट करें, तो भी ब्लैकलिस्ट करना चाहिए)।
- यदि आपको लगता है कि चलो किसी कारण से ब्राउज़र से एन्क्रिप्ट को बंद या छोड़ दिया जाएगा।
यदि आप में से कोई भी आप पर लागू नहीं होता है, तो बेझिझक अपने प्रमाणपत्रों का भुगतान न करें।