এই নথিতে নিম্নলিখিত বিভাগগুলি রয়েছে:
চলমান Google রুট CA মাইগ্রেশনের আরও বিশদ বিবরণের জন্য, দেখুন কী ঘটছে? .
পরিভাষা
নীচে, আমরা এই নথির জন্য আপনার পরিচিত হতে হবে এমন সবচেয়ে গুরুত্বপূর্ণ পদগুলির একটি তালিকা সংগ্রহ করেছি৷ সম্পর্কিত পরিভাষাগুলির আরও ব্যাপক ওভারভিউয়ের জন্য, অনুগ্রহ করে Google Trust Services FAQ- এ যান৷
- SSL/TLS সার্টিফিকেট
- একটি শংসাপত্র একটি পরিচয়ের সাথে একটি ক্রিপ্টোগ্রাফিক কীকে আবদ্ধ করে।
- SSL/TLS শংসাপত্রগুলি প্রমাণীকরণ এবং ওয়েবসাইটগুলিতে সুরক্ষিত সংযোগ স্থাপন করতে ব্যবহৃত হয়। শংসাপত্রগুলি জারি করা হয় এবং ক্রিপ্টোগ্রাফিকভাবে শংসাপত্র কর্তৃপক্ষ হিসাবে পরিচিত সত্তা দ্বারা স্বাক্ষরিত হয়।
- ব্রাউজারগুলি বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের দ্বারা জারি করা শংসাপত্রের উপর নির্ভর করে যে প্রেরিত তথ্য সঠিক সার্ভারে পাঠানো হয়েছে এবং ট্রানজিটের সময় এটি এনক্রিপ্ট করা হয়েছে।
- সিকিউর সকেট লেয়ার (SSL)
- সিকিউর সকেট লেয়ার ইন্টারনেট যোগাযোগ এনক্রিপ্ট করতে ব্যবহৃত সবচেয়ে ব্যাপকভাবে মোতায়েন করা প্রোটোকল ছিল। SSL প্রোটোকলকে আর নিরাপদ বলে মনে করা হয় না এবং ব্যবহার করা উচিত নয়।
- ট্রান্সপোর্ট লেয়ার সিকিউরিটি (TLS)
- ট্রান্সপোর্ট লেয়ার সিকিউরিটি হল SSL এর উত্তরসূরী।
- শংসাপত্র কর্তৃপক্ষ (CA)
- একটি শংসাপত্র কর্তৃপক্ষ ডিভাইস এবং লোকেদের জন্য একটি ডিজিটাল পাসপোর্ট অফিসের মতো। এটি প্রমাণ করার জন্য ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত নথি (শংসাপত্র) জারি করে যে একটি সত্তা (যেমন ওয়েবসাইট) যাকে দাবি করে।
- একটি শংসাপত্র ইস্যু করার আগে, সার্টিফিকেটের নামগুলি যে ব্যক্তি বা সত্তা এটির জন্য অনুরোধ করছেন তার সাথে লিঙ্ক করা আছে কিনা তা যাচাই করার জন্য CAগুলি দায়ী৷
- সার্টিফিকেট অথরিটি শব্দটি গুগল ট্রাস্ট সার্ভিসের মতো উভয় সংস্থাকে এবং সার্টিফিকেট ইস্যু করা সিস্টেমকে নির্দেশ করতে পারে।
- রুট সার্টিফিকেটের দোকান
- একটি রুট শংসাপত্রের দোকানে একটি অ্যাপ্লিকেশন সফ্টওয়্যার সরবরাহকারী দ্বারা বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের একটি সেট থাকে৷ বেশিরভাগ ওয়েব ব্রাউজার এবং অপারেটিং সিস্টেমের নিজস্ব রুট সার্টিফিকেট স্টোর রয়েছে।
- একটি রুট শংসাপত্রের দোকানে অন্তর্ভুক্ত হতে, শংসাপত্র কর্তৃপক্ষকে অবশ্যই অ্যাপ্লিকেশন সফ্টওয়্যার সরবরাহকারী দ্বারা নির্ধারিত কঠোর প্রয়োজনীয়তা পূরণ করতে হবে।
- সাধারণত এর মধ্যে CA/ব্রাউজার ফোরামের প্রয়োজনীয়তার মতো শিল্পের মানগুলির সাথে সম্মতি অন্তর্ভুক্ত থাকে।
- রুট সার্টিফিকেট কর্তৃপক্ষ
- একটি রুট সার্টিফিকেট অথরিটি (বা আরও সঠিকভাবে, এর শংসাপত্র) একটি শংসাপত্র শৃঙ্খলে শীর্ষ শংসাপত্র।
- রুট CA সার্টিফিকেট সাধারণত স্ব-স্বাক্ষরিত হয়। তাদের সাথে সম্পর্কিত ব্যক্তিগত কীগুলি অত্যন্ত সুরক্ষিত সুবিধাগুলিতে সংরক্ষণ করা হয় এবং অননুমোদিত অ্যাক্সেস থেকে রক্ষা করার জন্য অফলাইন অবস্থায় রক্ষণাবেক্ষণ করা হয়।
- ইন্টারমিডিয়েট সার্টিফিকেট কর্তৃপক্ষ
- একটি মধ্যবর্তী শংসাপত্র কর্তৃপক্ষ (বা আরও সঠিকভাবে, এর শংসাপত্র) হল একটি শংসাপত্র যা একটি শংসাপত্র চেইনে অন্যান্য শংসাপত্রে স্বাক্ষর করতে ব্যবহৃত হয়।
- রুট CA শংসাপত্র অফলাইনে থাকার অনুমতি দেওয়ার সময় ইন্টারমিডিয়েট CAগুলি প্রাথমিকভাবে অনলাইন শংসাপত্র ইস্যু সক্ষম করার জন্য বিদ্যমান।
- ইন্টারমিডিয়েট CAগুলি অধস্তন CA হিসাবেও পরিচিত।
- সার্টিফিকেট প্রদানকারী কর্তৃপক্ষ
- একটি ইস্যুকারী শংসাপত্র কর্তৃপক্ষ, বা আরও সঠিকভাবে, এর শংসাপত্র হল সেই শংসাপত্র যা একটি শংসাপত্রের চেইনে সবচেয়ে নীচের শংসাপত্রে স্বাক্ষর করতে ব্যবহৃত হয়।
- এই নীচের-সর্বাধিক শংসাপত্রটিকে সাধারণত একটি গ্রাহক শংসাপত্র, শেষ-সত্তা শংসাপত্র বা পাতার শংসাপত্র বলা হয়। এই নথিতে আমরা সার্ভার সার্টিফিকেট শব্দটিও ব্যবহার করব৷
- সার্টিফিকেট চেইন
- শংসাপত্রগুলি তাদের ইস্যুকারীর সাথে সংযুক্ত (ক্রিপ্টোগ্রাফিকভাবে স্বাক্ষরিত)। একটি শংসাপত্রের চেইন একটি পাতা-শংসাপত্র, এর সমস্ত ইস্যুকারী শংসাপত্র এবং একটি মূল শংসাপত্র দিয়ে তৈরি।
- ক্রস সাইনিং
- অ্যাপ্লিকেশন সফ্টওয়্যার সরবরাহকারীর ক্লায়েন্টদের তাদের পণ্যগুলির দ্বারা বিশ্বস্ত হওয়ার জন্য নতুন CA শংসাপত্রগুলি অন্তর্ভুক্ত করতে তাদের রুট সার্টিফিকেট স্টোর আপডেট করতে হবে৷ নতুন CA শংসাপত্র সম্বলিত পণ্যগুলি ব্যাপকভাবে ব্যবহৃত হওয়া পর্যন্ত কিছু সময় লাগে৷
- পুরানো ক্লায়েন্টদের সাথে সামঞ্জস্য বাড়াতে, CA শংসাপত্রগুলি অন্য পুরানো প্রতিষ্ঠিত CA দ্বারা "ক্রস স্বাক্ষরিত" হতে পারে। এটি কার্যকরভাবে একই পরিচয়ের জন্য একটি দ্বিতীয় CA শংসাপত্র তৈরি করে (নাম এবং কী জোড়া)।
- তাদের রুট সার্টিফিকেট স্টোরে অন্তর্ভুক্ত CA-এর উপর নির্ভর করে, ক্লায়েন্টরা তাদের বিশ্বাসযোগ্য একটি রুট পর্যন্ত একটি ভিন্ন সার্টিফিকেট চেইন তৈরি করবে।
সাধারণ জ্ঞাতব্য
কি হচ্ছে?
বড় ছবি
2017 সালে, Google তার নিজস্ব রুট সার্টিফিকেট ইস্যু এবং ব্যবহার করার জন্য একটি বহু-বছরের প্রকল্প শুরু করে, ক্রিপ্টোগ্রাফিক স্বাক্ষর যা HTTPS দ্বারা ব্যবহৃত TLS ইন্টারনেট নিরাপত্তার ভিত্তি।
প্রথম পর্যায়ের পরে, Google মানচিত্র প্ল্যাটফর্ম পরিষেবাগুলির TLS নিরাপত্তা GS Root R2 দ্বারা নিশ্চিত করা হয়েছে, একটি অত্যন্ত সুপরিচিত এবং ব্যাপকভাবে বিশ্বস্ত রুট সার্টিফিকেট অথরিটি (CA), যা Google আমাদের নিজস্ব স্ব-পরিবর্তন সহজ করার জন্য GMO GlobalSign থেকে অধিগ্রহণ করেছে। জারি করা Google Trust Services (GTS) রুট CA.
কার্যত সমস্ত TLS ক্লায়েন্ট (যেমন ওয়েব ব্রাউজার, স্মার্টফোন এবং অ্যাপ্লিকেশন সার্ভার) এই রুট সার্টিফিকেটে বিশ্বাস করেছে, এবং তাই মাইগ্রেশনের প্রথম পর্যায়ে Google মানচিত্র প্ল্যাটফর্ম সার্ভারের সাথে একটি নিরাপদ সংযোগ স্থাপন করতে সক্ষম হয়েছে।
যাইহোক, একটি CA ডিজাইন দ্বারা শংসাপত্র জারি করতে পারে না যা তার নিজের শংসাপত্রের মেয়াদ শেষ হওয়ার পরে বৈধ। যেহেতু GS Root R2 এর মেয়াদ 15 ডিসেম্বর, 2021-এ শেষ হচ্ছে, Google এর নিজস্ব রুট CA GTS Root R1 দ্বারা জারি করা একটি শংসাপত্র ব্যবহার করে Google তার নিজস্ব পরিষেবাগুলিকে একটি নতুন CA, GTS Root R1 Cross- এ স্থানান্তর করবে।
যদিও বেশিরভাগ আধুনিক অপারেটিং সিস্টেম এবং TLS ক্লায়েন্ট লাইব্রেরিগুলি ইতিমধ্যেই GTS রুট CA-কে বিশ্বাস করে, এছাড়াও বেশিরভাগ উত্তরাধিকারী সিস্টেমের জন্য একটি মসৃণ রূপান্তর নিশ্চিত করতে, Google GlobalSign Root CA - R1 ব্যবহার করে GMO GlobalSign থেকে একটি ক্রস-সাইন অর্জন করেছে, যার মধ্যে একটি। প্রাচীনতম, সবচেয়ে বিশ্বস্ত রুট CA বর্তমানে উপলব্ধ।
তাই, বেশিরভাগ গ্রাহকের Google Maps প্ল্যাটফর্ম ক্লায়েন্টরা ইতিমধ্যেই এই ভাল-বিশ্বস্ত রুট CA-গুলির মধ্যে একটিকে (বা উভয়কেই) চিনতে পারবে, এবং মাইগ্রেশনের দ্বিতীয় পর্যায়ের দ্বারা সম্পূর্ণরূপে প্রভাবিত হবে না৷
এটি সেইসব গ্রাহকদের ক্ষেত্রেও প্রযোজ্য যারা 2018 সালে মাইগ্রেশনের প্রথম পর্যায়ে পদক্ষেপ নিয়েছিলেন, অনুমান করে যে তারা সেই সময়ে আমাদের নির্দেশাবলী অনুসরণ করেছিল, আমাদের বিশ্বস্ত Google রুট CA বান্ডেল থেকে সমস্ত শংসাপত্র ইনস্টল করে।
আপনার সিস্টেমগুলি যাচাই করা উচিত, যদি নিম্নলিখিতগুলি প্রযোজ্য হয়:
- আপনার পরিষেবাগুলি অ-মানক বা লিগ্যাসি প্ল্যাটফর্ম চালায় এবং/অথবা আপনি আপনার নিজস্ব রুট সার্টিফিকেট স্টোর বজায় রাখেন
- আপনি 2017-2018 সালে Google-এর রুট CA মাইগ্রেশনের প্রথম পর্বে পদক্ষেপ নেননি, অথবা আপনি বিশ্বস্ত Google রুট CA বান্ডেল থেকে সার্টিফিকেটের সম্পূর্ণ সেট ইনস্টল করেননি
উপরেরটি প্রযোজ্য হলে, মাইগ্রেশনের এই পর্যায়ে নিরবচ্ছিন্ন Google Maps প্ল্যাটফর্ম ব্যবহার নিশ্চিত করতে আপনার ক্লায়েন্টদের প্রস্তাবিত রুট সার্টিফিকেটের সাথে আপডেট করতে হতে পারে।
আরও প্রযুক্তিগত বিবরণের জন্য নীচে দেখুন। সাধারণ নির্দেশাবলীর জন্য, অনুগ্রহ করে আমার রুট সার্টিফিকেট স্টোরের একটি আপডেটের প্রয়োজন আছে কিনা তা যাচাই করতে কিভাবে বিভাগটি পড়ুন।
আমরা আরও সুপারিশ করি যে আপনি আপনার রুট সার্টিফিকেট স্টোরগুলিকে উপরের কিউরেটেড রুট CA বান্ডেলের সাথে সিঙ্ক করে রাখুন যাতে আপনার পরিষেবাগুলি ভবিষ্যতের রুট CA পরিবর্তনের বিরুদ্ধে প্রমাণিত হয়। তবে এগুলো আগেই ঘোষণা করা হবে। বিভাগগুলি দেখুন কিভাবে আমি এই মাইগ্রেশন পর্বের আপডেট পেতে পারি? এবং কিভাবে আমি ভবিষ্যতের মাইগ্রেশনের আগাম বিজ্ঞপ্তি পেতে পারি? কিভাবে অবগত থাকতে হয় তার উপর আরও নির্দেশাবলীর জন্য।
প্রযুক্তিগত সারাংশ
Google সিকিউরিটি ব্লগে 15 মার্চ 2021-এ ঘোষণা করা হয়েছে, GS Root R2 , 2018 সালের শুরু থেকে ব্যবহৃত রুট CA Google Maps প্ল্যাটফর্মের মেয়াদ 15 ডিসেম্বর, 2021-এ শেষ হবে৷ তাই Google এই বছরের মধ্যে একটি নতুন জারি করা CA GTS Root R1- এ স্থানান্তরিত হবে৷ ক্রস এর মানে হল যে আমাদের পরিষেবাগুলি ধীরে ধীরে এই নতুন CA দ্বারা জারি করা TLS পাতার শংসাপত্রগুলিতে স্থানান্তরিত হবে৷
প্রায় সমস্ত আধুনিক TLS ক্লায়েন্ট এবং সিস্টেমগুলি ইতিমধ্যেই GTS Root R1 শংসাপত্রের সাথে প্রি-কনফিগার করা হয়েছে বা সাধারণ সফ্টওয়্যার আপডেটের মাধ্যমে এটি গ্রহণ করা উচিত, এবং GlobalSign Root CA - R1 এমনকি পুরানো লিগ্যাসি সিস্টেমগুলিতে উপলব্ধ হওয়া উচিত।
যাইহোক, আপনার সিস্টেমগুলি অন্তত যাচাই করা উচিত যদি নিম্নলিখিত দুটি পয়েন্টই প্রযোজ্য হয়:
- আপনার পরিষেবাগুলি অ-মানক বা লিগ্যাসি প্ল্যাটফর্মে চলে এবং/অথবা আপনি আপনার নিজস্ব রুট সার্টিফিকেট স্টোর বজায় রাখেন
- আপনি 2017-2018 সালে Google-এর রুট CA মাইগ্রেশনের প্রথম পর্বে পদক্ষেপ নেননি, অথবা আপনি বিশ্বস্ত Google রুট CA বান্ডেল থেকে সার্টিফিকেটের সম্পূর্ণ সেট ইনস্টল করেননি
আমার রুট সার্টিফিকেট স্টোরের আপডেটের প্রয়োজন আছে কিনা তা যাচাই করার বিভাগ আপনার সিস্টেম প্রভাবিত হবে কিনা তা পরীক্ষার জন্য সাধারণ নির্দেশিকা প্রদান করে।
প্রশ্ন দেখুন কেন আমার রুট সার্টিফিকেট স্টোরকে বিশ্বস্ত Google রুট CA বান্ডেলের সাথে সিঙ্কে রাখতে হবে? সম্পূর্ণ বিবরণের জন্য।
কিভাবে আমি এই মাইগ্রেশন পর্বের আপডেট পেতে পারি?
আপডেটের জন্য স্টার পাবলিক ইস্যু 186840968 । এই প্রায়শই জিজ্ঞাসিত প্রশ্নগুলি মাইগ্রেশন প্রক্রিয়া জুড়ে আপডেট করা হয়, যখনই আমরা সাধারণ আগ্রহের বিষয়গুলির মুখোমুখি হই।
কিভাবে আমি ভবিষ্যতের মাইগ্রেশনের অগ্রিম বিজ্ঞপ্তি পেতে পারি?
আমরা আপনাকে Google নিরাপত্তা ব্লগ অনুসরণ করার পরামর্শ দিই। আমরা ব্লগে প্রকাশ্য ঘোষণা অনুসরণ করে যত তাড়াতাড়ি সম্ভব পণ্য-নির্দিষ্ট ডকুমেন্টেশন আপডেট করার চেষ্টা করব।
অনুগ্রহ করে Google Maps প্ল্যাটফর্ম বিজ্ঞপ্তিতেও সাবস্ক্রাইব করুন, কারণ আমরা নিয়মিত ফোরামে এমন পরিবর্তনগুলি সম্পর্কে আপডেট পোস্ট করি যা সম্ভবত আরও বেশি সংখ্যক গ্রাহককে প্রভাবিত করতে পারে৷
আমরা একাধিক Google পরিষেবা ব্যবহার করি। রুট CA মাইগ্রেশন কি তাদের সবাইকে প্রভাবিত করবে?
হ্যাঁ, রুট CA মাইগ্রেশন সমস্ত Google পরিষেবা এবং API জুড়ে ঘটবে, কিন্তু টাইমলাইন পরিষেবা প্রতি পরিবর্তিত হতে পারে। যাইহোক, একবার আপনি যাচাই করেছেন যে আপনার Google মানচিত্র প্ল্যাটফর্ম ক্লায়েন্ট অ্যাপ্লিকেশনগুলির দ্বারা ব্যবহৃত রুট সার্টিফিকেট স্টোরগুলিতে বিশ্বস্ত Google রুট CA বান্ডেলে তালিকাভুক্ত সমস্ত CA রয়েছে, আপনার পরিষেবাগুলি চলমান স্থানান্তর দ্বারা প্রভাবিত হওয়া উচিত নয় এবং এগুলিকে সিঙ্কে রাখাও রক্ষা করবে আপনি ভবিষ্যতের রুট CA পরিবর্তনের বিরুদ্ধে।
প্রশ্ন দেখুন কেন আমার রুট সার্টিফিকেট স্টোরকে বিশ্বস্ত Google রুট CA বান্ডেলের সাথে সিঙ্কে রাখতে হবে? এবং কোন ধরণের অ্যাপ্লিকেশনগুলি ভাঙার ঝুঁকিতে রয়েছে? আরও অন্তর্দৃষ্টি জন্য.
আমার রুট সার্টিফিকেট স্টোরের একটি আপডেটের প্রয়োজন আছে কিনা তা যাচাই করার বিভাগ নীচে আপনার সিস্টেম পরীক্ষা করার জন্য সাধারণ নির্দেশাবলী প্রদান করে।
আমার রুট সার্টিফিকেট স্টোরের একটি আপডেটের প্রয়োজন কিনা তা কীভাবে যাচাই করবেন
নীচে তালিকাভুক্ত পরীক্ষার শেষ পয়েন্টগুলির বিরুদ্ধে আপনার আবেদনের পরিবেশ পরীক্ষা করুন:
- আপনি যদি GTS Root R1 ক্রস টেস্ট এন্ডপয়েন্টের সাথে একটি TLS সংযোগ স্থাপন করতে সক্ষম হন, তাহলে আপনি GS Root R2 মেয়াদ শেষ হওয়ার দ্বারা প্রভাবিত হবেন না।
- আপনি যদি GTS Root R1 টেস্ট এন্ডপয়েন্টের সাথে একটি TLS সংযোগ স্থাপন করতে সক্ষম হন, তাহলে আপনার আবেদনটি সম্ভবত 2028 সালে GTS Root R1 Cross এবং GlobalSign Root CA - R1 এর মেয়াদ শেষ হওয়া থেকে রক্ষা পাবে।
আপনার সিস্টেম সাধারণত এই রুট CA পরিবর্তনের সাথে সামঞ্জস্যপূর্ণ হবে যদি:
- আপনার পরিষেবা একটি রক্ষণাবেক্ষণ করা মূলধারার অপারেটিং সিস্টেমে চলে, এবং আপনি উভয় অপারেটিং সিস্টেম এবং আপনার পরিষেবা ব্যবহার করা লাইব্রেরিগুলিকে প্যাচ আপ করে রেখেছেন এবং আপনি আপনার নিজস্ব রুট সার্টিফিকেট স্টোর বজায় রাখেন না , অথবা:
- আপনি আমাদের পূর্ববর্তী সুপারিশগুলি অনুসরণ করেছেন এবং বিশ্বস্ত Google রুট CA বান্ডেল থেকে সমস্ত রুট CA ইনস্টল করেছেন৷
সম্ভবত প্রভাবিত গ্রাহকদের অবিলম্বে বিশ্বস্ত Google রুট CA বান্ডেল থেকে শংসাপত্রগুলি ইনস্টল করা উচিত যাতে ভবিষ্যতে পরিষেবা বাধা না হয়।
প্রশ্ন দেখুন কেন আমার রুট সার্টিফিকেট স্টোরকে বিশ্বস্ত Google রুট CA বান্ডেলের সাথে সিঙ্কে রাখতে হবে? সম্পূর্ণ বিবরণের জন্য।
আমাদের রুট সার্টিফিকেট স্টোর যাচাই করার জন্য আমি কি কোন সহজ টুল ব্যবহার করতে পারি?
আপনি আপনার তদন্তে দুটি কমান্ড লাইন টুল curl এবং openssl দরকারী খুঁজে পেতে পারেন। উভয়ই বেশিরভাগ প্ল্যাটফর্মে উপলব্ধ, এবং আপনার সেটআপ পরীক্ষা করার জন্য ব্যাপক বিকল্পগুলি অফার করে।
curl পাওয়ার নির্দেশাবলীর জন্য, নীচের কার্ল পাওয়া বিভাগটি দেখুন।
নীচে দেখানো openssl কমান্ডগুলি 1.1.1 বা পরবর্তী সংস্করণের জন্য। 1.1.1 এর আগের সংস্করণগুলি সমর্থনের বাইরে। আপনি যদি পূর্ববর্তী সংস্করণ ব্যবহার করেন তবে আপনার সংস্করণের জন্য প্রয়োজনীয় এই কমান্ডগুলি আপগ্রেড বা সংশোধন করুন। openssl পাওয়ার নির্দেশাবলীর জন্য, নীচে OpenSSL পাওয়া বিভাগটি দেখুন।
আপনি বিভাগের অধীনে আরও দরকারী সরঞ্জামগুলিও পাবেন আমার প্রয়োজনীয় সরঞ্জামগুলি আমি কোথায় পেতে পারি? নিচে.
কংক্রিট পরীক্ষার নির্দেশাবলীর জন্য, অনুগ্রহ করে আমার রুট সার্টিফিকেট স্টোরের আপডেটের প্রয়োজন আছে কিনা তা কীভাবে যাচাই করবেন বিভাগটি দেখুন।
আপনার ডিফল্ট রুট সার্টিফিকেট স্টোর পরীক্ষা করা হচ্ছে
curl -vvI https://maps.googleapis.com; \
openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1.demo.pki.goog/; \
openssl s_client -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;
বিশ্বস্ত Google রুট CA বান্ডেল যাচাই করা হচ্ছে
বিশ্বস্ত Google রুট CA বান্ডেল ডাউনলোড করুন, তারপর এই পদক্ষেপগুলি অনুসরণ করুন:
curl -vvI --cacert roots.pem https://maps.googleapis.com; \
openssl s_client -CAfile roots.pem -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1.demo.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;
কিভাবে এবং কখন Google রুট CA মাইগ্রেশন অব্যাহত থাকবে?
- প্রথম পর্যায় (GS Root R2 এ স্থানান্তরিত করা), যা 2017 সালের জানুয়ারিতে ঘোষণা করা হয়েছিল , 2017 সালের শেষের দিকে শুরু হয়েছিল এবং 2018 সালের প্রথমার্ধে শেষ হয়েছিল।
- দ্বিতীয় পর্যায় (GTS Root R1 Cross-এ স্থানান্তর) মার্চ 2021-এ ঘোষণা করা হয়েছিল এবং 15 ডিসেম্বর, 2021-এ GS Root R2-এর মেয়াদ শেষ হওয়ার আগে আগামী মাসগুলিতে এটি চালু হবে।
ভবিষ্যতের শংসাপত্রের মেয়াদ শেষ হওয়ার আগেই চূড়ান্ত মাইগ্রেশন পর্বের সময়সূচী ঘোষণা করা হবে।
যাইহোক, আপনি ভবিষ্যতে আপনার অ্যাপগুলি প্রমাণ করতে সক্ষম হবেন, যদি আপনি বিশ্বস্ত Google রুট CA বান্ডেলে রুট CA-এর কিউরেটেড তালিকার সাথে আপনার রুট সার্টিফিকেট স্টোর সিঙ্ক করে রাখেন।
এছাড়াও প্রশ্ন দেখুন কেন আমার রুট সার্টিফিকেট স্টোরকে বিশ্বস্ত Google রুট CA বান্ডেলের সাথে সিঙ্কে রাখতে হবে? আরও পটভূমির জন্য।
প্রতিটি Google পরিষেবার জন্য সাধারণ রোলআউট প্ল্যান৷
- স্টেজড রোলআউট একটি একক ডেটা সেন্টারে শুরু হয়।
- বিশ্বব্যাপী কভারেজ না হওয়া পর্যন্ত রোলআউটটি ধীরে ধীরে আরও ডেটা সেন্টারে প্রসারিত হয়।
- কোনো পর্যায়ে গুরুতর সমস্যা ধরা পড়লে, সমস্যাগুলো সমাধান করার সময় পরীক্ষাগুলো সাময়িকভাবে ফিরিয়ে আনা যেতে পারে।
- পূর্ববর্তী পুনরাবৃত্তির ইনপুটের উপর ভিত্তি করে, ধীরে ধীরে সমস্ত Google পরিষেবা নতুন শংসাপত্রে স্থানান্তরিত না হওয়া পর্যন্ত আরও Google পরিষেবাগুলি রোলআউটে অন্তর্ভুক্ত করা হয়।
কে আক্রান্ত হবে, কখন, কোথায়?
Google Maps প্ল্যাটফর্ম ডেভেলপারদের ক্রমবর্ধমান সংখ্যক নতুন ডেটা সেন্টার স্থানান্তরিত হওয়ার সাথে সাথে নতুন শংসাপত্রগুলি পেতে শুরু করবে৷ পরিবর্তনগুলি কিছুটা স্থানীয় করা হবে, কারণ ক্লায়েন্টের অনুরোধগুলি ভৌগলিকভাবে কাছাকাছি ডেটা সেন্টারের সার্ভারগুলিতে ফরোয়ার্ড করা হয়৷
যেহেতু আমরা নিশ্চিতভাবে আগে থেকে বলতে পারি না যে কে প্রভাবিত হবে, কখন এবং কোথায়, আমরা আমাদের সমস্ত গ্রাহকদের তাদের পরিষেবাগুলি ইতিমধ্যেই যাচাই এবং ভবিষ্যতে প্রমাণ করার পরামর্শ দিচ্ছি সম্ভাব্য Google রুট CA মাইগ্রেশন পর্যায়গুলির আগে।
আমার রুট সার্টিফিকেট স্টোরের অতিরিক্ত নির্দেশনার জন্য আপডেটের প্রয়োজন আছে কিনা তা কীভাবে যাচাই করবেন বিভাগটি দেখুন।
কি জন্য চক্ষু মেলিয়া
প্রয়োজনীয় রুট শংসাপত্রের সাথে কনফিগার করা হয়নি এমন ক্লায়েন্টরা Google মানচিত্র প্ল্যাটফর্মে তাদের TLS সংযোগ যাচাই করতে পারবে না। এই পরিস্থিতিতে, ক্লায়েন্টরা সাধারণত একটি সতর্কতা জারি করবে যে শংসাপত্রের বৈধতা ব্যর্থ হয়েছে।
তাদের TLS কনফিগারেশনের উপর নির্ভর করে, ক্লায়েন্টরা একটি Google মানচিত্র প্ল্যাটফর্ম অনুরোধ জারি করতে পারে , অথবা তারা অনুরোধটি চালিয়ে যেতে অস্বীকার করতে পারে।
Google মানচিত্র প্ল্যাটফর্মের সাথে যোগাযোগ করার জন্য একটি TLS ক্লায়েন্টের ন্যূনতম প্রয়োজনীয়তাগুলি কী কী?
Google মানচিত্র প্ল্যাটফর্মের শংসাপত্রগুলি DNS বিষয় বিকল্প নাম (SANs) নিয়োগ করে, তাই একটি ক্লায়েন্টের শংসাপত্র হ্যান্ডলিং অবশ্যই SAN সমর্থন করতে সক্ষম হতে হবে যাতে একটি ওয়াইল্ডকার্ড নামের মধ্যে বাম-সবচেয়ে লেবেল হিসাবে অন্তর্ভুক্ত থাকতে পারে, যেমন *.googleapis.com ।
অন্যান্য প্রয়োজনীয়তার জন্য, অনুগ্রহ করে বিভাগটি দেখুন একজন TLS ক্লায়েন্টের জন্য Google এর সাথে যোগাযোগের জন্য প্রস্তাবিত প্রয়োজনীয়তাগুলি কী কী? GTS FAQ- এ
কোন ধরণের অ্যাপ্লিকেশনগুলি ভাঙার ঝুঁকিতে রয়েছে?
অ্যাপ্লিকেশনটি কোনো বিকাশকারীর আরোপিত বিধিনিষেধ ছাড়াই সিস্টেম রুট সার্টিফিকেট স্টোর ব্যবহার করে
গুগল ম্যাপ প্ল্যাটফর্ম ওয়েব পরিষেবা অ্যাপ্লিকেশন
আপনি যদি একটি মূলধারার OS ব্যবহার করেন, যেমন, Ubuntu, Red Hat, Windows 10 বা Server 2019, OS X) যা এখনও রক্ষণাবেক্ষণ করা হয় এবং নিয়মিত আপডেট পায়, আপনার ডিফল্ট রুট সার্টিফিকেট স্টোরে ইতিমধ্যেই GTS Root R1 শংসাপত্র অন্তর্ভুক্ত করা উচিত।
আপনি যদি একটি লিগ্যাসি OS সংস্করণ ব্যবহার করেন যা আর আপডেট পায় না, তাহলে আপনার কাছে GTS Root R1 শংসাপত্র থাকতে পারে বা নাও থাকতে পারে। যাইহোক, আপনার রুট সার্টিফিকেট স্টোরে সম্ভবত GlobalSign Root CA - R1 থাকবে, যা প্রাচীনতম এবং সর্বাধিক বিশ্বস্ত রুট CAগুলির মধ্যে একটি৷
মোবাইল অ্যাপ্লিকেশানগুলির জন্য সরাসরি শেষ ব্যবহারকারীর ডিভাইস থেকে Google মানচিত্র প্ল্যাটফর্ম ওয়েব পরিষেবাগুলিতে কল করা, প্রশ্ন থেকে নির্দেশিকাগুলি মোবাইল অ্যাপগুলি কি ভাঙার ঝুঁকিতে রয়েছে? আবেদন
ক্লায়েন্ট-সাইড গুগল ম্যাপ প্ল্যাটফর্ম অ্যাপ্লিকেশন
Maps JavaScript API অ্যাপ্লিকেশনগুলি সাধারণত অ্যাপ্লিকেশন চালানো ওয়েব ব্রাউজারের রুট সার্টিফিকেটের উপর নির্ভর করে। বিভাগটি দেখুন জাভাস্ক্রিপ্ট অ্যাপ্লিকেশনগুলি কি ভাঙার ঝুঁকিতে রয়েছে? আরো বিস্তারিত জানার জন্য।
Android-এর জন্য Maps SDK, iOS-এর জন্য Maps SDK, Android-এর জন্য Places SDK বা iOS-এর জন্য Places SDK-এর যে কোনও একটি ব্যবহার করে স্থানীয় মোবাইল অ্যাপ্লিকেশানগুলির জন্য, Google Maps Platform ওয়েব পরিষেবাগুলিতে কল করা অ্যাপগুলির জন্য একই নিয়ম প্রযোজ্য৷
প্রশ্ন দেখুন মোবাইল অ্যাপস কি ভাঙার ঝুঁকিতে রয়েছে? আরো বিস্তারিত জানার জন্য.
অ্যাপটি তার নিজস্ব শংসাপত্র বান্ডিল ব্যবহার করে বা উন্নত নিরাপত্তা বৈশিষ্ট্য ব্যবহার করে, যেমন শংসাপত্র পিনিং
আপনার শংসাপত্রের বান্ডিল নিজেই আপডেট করা নিশ্চিত করতে হবে। প্রশ্নে আলোচনা করা হয়েছে কেন আমি আমার রুট সার্টিফিকেট স্টোরকে বিশ্বস্ত Google রুট CA বান্ডেলের সাথে সিঙ্কে রাখব? , আমরা আপনাকে বিশ্বস্ত Google রুট CA বান্ডেল থেকে সমস্ত শংসাপত্র আপনার নিজস্ব রুট শংসাপত্রের দোকানে আমদানি করার পরামর্শ দিই৷
যদি আপনি Google ডোমেনগুলির জন্য শংসাপত্র বা সর্বজনীন কীগুলি পিন করে থাকেন যেগুলির সাথে আপনার অ্যাপ্লিকেশন সংযোগ করে, আপনার আবেদনের বিশ্বস্ত সত্তার তালিকায় আপনার শংসাপত্র এবং সর্বজনীন কীগুলি যোগ করা উচিত৷
শংসাপত্র বা সর্বজনীন কী পিনিং সম্পর্কে আরও তথ্যের জন্য, প্রশ্নের অধীনে তালিকাভুক্ত বাহ্যিক সংস্থানগুলি পড়ুন আরও তথ্যের প্রয়োজন? .
কেন আমার রুট সার্টিফিকেট স্টোরকে বিশ্বস্ত Google রুট CA বান্ডেলের সাথে সিঙ্কে রাখতে হবে?
বিশ্বস্ত Google রুট CA বান্ডেলে রুট CA-এর কিউরেটেড তালিকায় এমন সমস্ত CA অন্তর্ভুক্ত রয়েছে যা সম্ভবত অদূর ভবিষ্যতে Google পরিষেবা দ্বারা ব্যবহার করা হতে পারে৷
অতএব, আপনি যদি ভবিষ্যতে আপনার সিস্টেমের প্রমাণ করতে চান, আমরা দৃঢ়ভাবে সুপারিশ করি যে আপনি যাচাই করুন যে আপনার রুট শংসাপত্রের দোকানে বান্ডেল থেকে সমস্ত শংসাপত্র রয়েছে এবং দুটিকে সিঙ্কে রাখার অভ্যাস করুন৷
এটি বিশেষভাবে গুরুত্বপূর্ণ যদি আপনার পরিষেবাগুলি একটি অপরিবর্তিত অপারেটিং সিস্টেম সংস্করণে চালিত হয়, আপনি অন্যান্য কারণে আপনার অপারেটিং সিস্টেম এবং লাইব্রেরিগুলি প্যাচ আপ রাখতে অক্ষম হন, অথবা আপনি নিজের রুট সার্টিফিকেট স্টোর বজায় রাখেন৷
প্রশ্ন দেখুন কিভাবে আমি ভবিষ্যতের মাইগ্রেশনের অগ্রিম বিজ্ঞপ্তি পেতে পারি? ভবিষ্যত রুট CA মাইগ্রেশন সম্পর্কে আপডেট কিভাবে পেতে হয় তা খুঁজে বের করতে। নিয়মিতভাবে আপনার রুট সার্টিফিকেট স্টোরকে কিউরেটেড তালিকার সাথে সিঙ্ক করে রাখলে তা CA পরিবর্তনের কারণে আপনার পরিষেবাগুলিকে ভবিষ্যত পরিষেবা বাধার বিরুদ্ধে রক্ষা করবে এবং GTS Root R1 Cross এবং GlobalSign Root CA - R1 উভয়ের মেয়াদ শেষ হওয়ার পরেও আপনার পরিষেবাগুলিকে চালু রাখবে।
এছাড়াও, অনুগ্রহ করে প্রশ্নটি পড়ুন যে আমি একটি পণ্য তৈরি করছি যা Google পরিষেবাগুলির সাথে সংযোগ করে৷ আমার কোন CA শংসাপত্রগুলি বিশ্বাস করতে হবে? আরও সুপারিশের জন্য GTS FAQ- এ।
কেন আমি কোনো পাতা বা মধ্যবর্তী CA সার্টিফিকেট ইনস্টল করব না?
এটি করার ফলে যে কোনো সময়ে আমরা একটি নতুন শংসাপত্র নথিভুক্ত করি, অথবা মধ্যবর্তী CAগুলি পরিবর্তন করি আপনার আবেদন ভঙ্গ করার ঝুঁকি থাকবে৷ যেকোনও সময়ে এবং কোনো পূর্ব বিজ্ঞপ্তি ছাড়াই এগুলির যে কোনো একটি ঘটতে পারে, এবং এটি পৃথক সার্ভার সার্টিফিকেটের ক্ষেত্রে সমানভাবে প্রযোজ্য, যেমন maps.googleapis.com দ্বারা পরিবেশিত , সেইসাথে আমাদের মধ্যবর্তী CA, যেমন GTS Root R1 Cross ।
এর বিরুদ্ধে আপনার পরিষেবাগুলিকে রক্ষা করার জন্য, আপনাকে শুধুমাত্র বিশ্বস্ত Google রুট CA বান্ডেল থেকে রুট শংসাপত্রগুলি ইনস্টল করতে হবে এবং এটিতে নোঙর করা সমগ্র শংসাপত্রের চেইনের বিশ্বস্ততা যাচাই করতে শুধুমাত্র রুট শংসাপত্রের উপর নির্ভর করতে হবে৷
যেকোনো আধুনিক TLS লাইব্রেরি বাস্তবায়ন স্বয়ংক্রিয়ভাবে এই ধরনের বিশ্বাসের চেইন যাচাই করতে সক্ষম হওয়া উচিত, যতক্ষণ না রুট সার্টিফিকেট কর্তৃপক্ষ বিশ্বস্ত থাকে।
জাভাস্ক্রিপ্ট অ্যাপ্লিকেশনগুলি কি ভাঙার ঝুঁকিতে রয়েছে?
GTS রুট শংসাপত্রগুলি ইতিমধ্যেই বেশিরভাগ আধুনিক ব্রাউজারগুলির দ্বারা ভালভাবে এম্বেড করা এবং বিশ্বস্ত, এবং GMO GlobalSign থেকে ক্রস-সাইনটি লিগ্যাসি ব্রাউজারগুলিতে বেশিরভাগ শেষ ব্যবহারকারীদের জন্যও একটি মসৃণ স্থানান্তর নিশ্চিত করতে হবে। এতে মানচিত্র জাভাস্ক্রিপ্ট API-এর জন্য সমস্ত আনুষ্ঠানিকভাবে সমর্থিত ব্রাউজার অন্তর্ভুক্ত রয়েছে।
প্রতিটি আধুনিক ব্রাউজারকে শেষ ব্যবহারকারীদের যাচাই করার অনুমতি দেওয়া উচিত এবং সাধারণত ব্রাউজারটি কোন সার্টিফিকেট বিশ্বাস করে তা সম্পাদনা করতে পারে। যদিও প্রতিটি ব্রাউজারের সাথে সঠিক অবস্থান আলাদা হয়, সার্টিফিকেটের তালিকা সাধারণত সেটিংসের অধীনে কোথাও পাওয়া যেতে পারে।
মোবাইল অ্যাপস কি ভাঙার ঝুঁকিতে রয়েছে?
অ্যান্ড্রয়েড এবং অ্যাপল আইওএস ডিভাইসগুলি এখনও ডিভাইস প্রস্তুতকারকের কাছ থেকে নিয়মিত আপডেট গ্রহণ করে ভবিষ্যতে প্রমাণ হবে বলে আশা করা হচ্ছে। বেশিরভাগ পুরানো অ্যান্ড্রয়েড ফোন মডেলের মধ্যে অন্তত GlobalSign Root CA - R1 সার্টিফিকেট অন্তর্ভুক্ত থাকে, যদিও বিশ্বস্ত সার্টিফিকেটের তালিকা হ্যান্ডসেট প্রস্তুতকারক, ডিভাইস মডেল এবং অ্যান্ড্রয়েড সংস্করণ অনুসারে পরিবর্তিত হতে পারে।
যাইহোক, GTS রুট R1 সহ GTS রুট CA-এর জন্য সমর্থন এখনও 10-এর আগে Android সংস্করণগুলিতে সীমিত হতে পারে।
iOS ডিভাইসগুলির জন্য, Apple তার সমর্থন পৃষ্ঠাগুলিতে প্রতিটি সাম্প্রতিক iOS সংস্করণের জন্য বিশ্বস্ত রুট CA-এর একটি তালিকা বজায় রাখে। যাইহোক, সমস্ত iOS সংস্করণ 5 এবং পরবর্তীতে GlobalSign Root CA - R1 সমর্থন করে।
GTS রুট CA, GTS Root R1 সহ iOS সংস্করণ 12.1.3 থেকে সমর্থিত।
প্রশ্ন দেখুন কিভাবে আমি আমার মোবাইল ফোনে বিশ্বস্ত রুট সার্টিফিকেট চেক করতে পারি? বিস্তারি তথ্যের জন্য.
আমার ব্রাউজার বা অপারেটিং সিস্টেম কখন Google Trust Services রুট সার্টিফিকেট অন্তর্ভুক্ত করবে?
Google বিগত বছরগুলিতে ব্যাপকভাবে ব্যবহৃত এবং বিশ্বস্ত রুট শংসাপত্র বান্ডেলগুলি বজায় রেখে সমস্ত প্রধান তৃতীয় পক্ষের সাথে ব্যাপকভাবে কাজ করেছে। উদাহরণগুলির মধ্যে রয়েছে অপারেটিং সিস্টেম নির্মাতা, যেমন অ্যাপল এবং মাইক্রোসফ্ট, কিন্তু এছাড়াও গুগলের নিজস্ব অ্যান্ড্রয়েড এবং ক্রোম ওএস টিম; ব্রাউজার ডেভেলপার, যেমন Mozilla, Apple, Microsoft, কিন্তু Google এর নিজস্ব Chrome টিম; হার্ডওয়্যার নির্মাতারা, যেমন ফোন, সেট-টপ বক্স, টিভি, গেম কনসোল, প্রিন্টার, শুধুমাত্র কয়েকটি নাম।
তাই খুব সম্ভবত যে কোনো বর্তমানে রক্ষণাবেক্ষণ করা সিস্টেম ইতিমধ্যেই GTS Root R1 সহ Google-এর নতুন GTS Root CAগুলিকে সমর্থন করে এবং এমনকি লিগ্যাসি সিস্টেমগুলিকে GlobalSign Root CA - R1 সমর্থন করার সম্ভাবনা বেশি, যেটি ক্রস-সাইনিং Google-ইস্যু করা শংসাপত্রের জন্য ব্যবহার করা হবে। পরবর্তী বছরগুলির মাধ্যমে।
যাইহোক, যেহেতু তৃতীয় পক্ষের শংসাপত্র অন্তর্ভুক্তির টাইমলাইনগুলি মূলত Google-এর নিয়ন্ত্রণের বাইরে, তাই সর্বোত্তম সাধারণ উপদেশ আমরা দিতে পারি তা হল আপনি নিয়মিত উপলব্ধ সিস্টেম আপডেটগুলি প্রয়োগ করছেন তা নিশ্চিত করা৷
তৃতীয় পক্ষ নির্বাচন করুন, যেমন Mozilla's CA সার্টিফিকেট প্রোগ্রাম তাদের নিজস্ব শংসাপত্র অন্তর্ভুক্তির সময়রেখা নথিভুক্ত করতে পারে।
সমস্যা সমাধান
আমি আমার প্রয়োজনীয় সরঞ্জামগুলি কোথায় পেতে পারি?
কার্ল হচ্ছে
যদি আপনার OS ডিস্ট্রিবিউশন curl প্রদান না করে, আপনি এটি https://curl.haxx.se/ থেকে ডাউনলোড করতে পারেন। আপনি হয় উৎসটি ডাউনলোড করতে পারেন এবং নিজেই টুলটি কম্পাইল করতে পারেন অথবা আপনার প্ল্যাটফর্মের জন্য উপলব্ধ থাকলে একটি প্রাক-সংকলিত বাইনারি ডাউনলোড করতে পারেন।
OpenSSL পাচ্ছেন
যদি আপনার OS ডিস্ট্রিবিউশন openssl প্রদান না করে, আপনি https://www.openssl.org/ থেকে উৎসটি ডাউনলোড করতে পারেন এবং টুলটি কম্পাইল করতে পারেন। 3য় পক্ষ দ্বারা তৈরি বাইনারিগুলির একটি তালিকা https://www.openssl.org/community/binaries.html এর মাধ্যমে পাওয়া যাবে। যাইহোক, এই বিল্ডগুলির কোনটিই সমর্থিত নয় বা কোন নির্দিষ্ট উপায়ে OpenSSL টিম দ্বারা অনুমোদিত নয়।
Wireshark, Tshark বা Tcpdump পাওয়া
যদিও বেশিরভাগ লিনাক্স ডিস্ট্রিবিউশন wireshark অফার করে, এর কমান্ড-লাইন টুল tshark এবং tcpdump , অন্যান্য OS-এর জন্য প্রথম দুটির প্রাক-সংকলিত সংস্করণ https://www.wireshark.org- এ পাওয়া যাবে।
Tcpdump এবং LibPCAP-এর সোর্স কোড https://www.tcpdump.org- এ পাওয়া যাবে।
এই দরকারী টুলগুলির জন্য ডকুমেন্টেশন পাওয়া যাবে Wireshark ব্যবহারকারীর নির্দেশিকাতে , যথাক্রমে Tshark ম্যান পেজে এবং Tcpdump ম্যান পেজে ।
জাভা কীটুল পাওয়া যাচ্ছে
keytool কমান্ড লাইন টুলটি প্রতিটি জাভা ডেভেলপমেন্ট কিট (জেডিকে) বা জাভা রানটাইম এনভায়রনমেন্ট (জেআরই) সংস্করণের সাথে পাঠানো উচিত। keytool. যাইহোক, মূল শংসাপত্র যাচাইকরণের জন্য keytool ব্যবহার করা অসম্ভব, যদি না আপনার অ্যাপ্লিকেশন জাভা ব্যবহার করে তৈরি করা হয়।
একটি উত্পাদন বিভ্রাটে কি করতে হবে
আপনার জন্য প্রাথমিক পদক্ষেপ হল বিশ্বস্ত Google রুট CA বান্ডেল থেকে প্রয়োজনীয় রুট শংসাপত্রগুলি আপনার অ্যাপ্লিকেশন ব্যবহার করে রুট সার্টিফিকেট স্টোরে ইনস্টল করা।
- আপনার স্থানীয় রুট সার্টিফিকেট স্টোর আপগ্রেড করতে আপনার সিস্টেম অ্যাডমিনিস্ট্রেটরদের সাথে একসাথে কাজ করুন।
- আপনার সিস্টেমে প্রযোজ্য পয়েন্টারগুলির জন্য এই FAQ চেক করুন।
- আপনার যদি আরও প্ল্যাটফর্ম- বা সিস্টেম-নির্দিষ্ট সহায়তার প্রয়োজন হয়, আপনার সিস্টেম প্রদানকারীর দ্বারা অফার করা প্রযুক্তিগত সহায়তা চ্যানেলগুলির সাথে যোগাযোগ করুন।
- সাধারণ সহায়তার জন্য, আমাদের সহায়তা টিমের সাথে যোগাযোগ করুন, যেমনটি Google Maps প্ল্যাটফর্ম সমর্থনে পৌঁছানো বিভাগে বর্ণিত হয়েছে। দ্রষ্টব্য: প্ল্যাটফর্ম-নির্দিষ্ট সমস্যাগুলির জন্য, নির্দেশিকা শুধুমাত্র সর্বোত্তম প্রচেষ্টার ভিত্তিতে প্রদান করা হয়।
- আরও মাইগ্রেশন সম্পর্কিত আপডেটের জন্য স্টার পাবলিক ইস্যু 186840968 ।
Google Maps প্ল্যাটফর্ম সমর্থনে পৌঁছানো
প্রাথমিক সমস্যা সমাধান
জেনেরিক সমস্যা সমাধানের নির্দেশাবলীর জন্য আমার রুট সার্টিফিকেট স্টোরের একটি আপডেটের প্রয়োজন কিনা তা কীভাবে যাচাই করবেন বিভাগটি দেখুন।
আপনার যদি রুট সার্টিফিকেট আমদানি বা রপ্তানি করার প্রয়োজন হয় তবে আপনার বিশ্বস্ত শংসাপত্রগুলি পরিচালনা করা বিভাগ মূল্যবান তথ্য সরবরাহ করতে পারে।
যদি সমস্যাটির সমাধান না হয়, এবং আপনি Google মানচিত্র প্ল্যাটফর্ম সহায়তার সাথে যোগাযোগ করার সিদ্ধান্ত নেন, তাহলে নিম্নলিখিত তথ্য প্রদান করতে প্রস্তুত থাকুন:
- আপনার প্রভাবিত সার্ভার কোথায় অবস্থিত?
- কোন Google IP ঠিকানাগুলি আপনার পরিষেবা কল করছে?
- কোন API(গুলি) এই সমস্যা দ্বারা প্রভাবিত হয়?
- ঠিক কখন সমস্যা শুরু হয়েছিল?
নিম্নলিখিত কমান্ডের আউটপুট:
curl -vvI https://maps.googleapis.com; \ openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \ curl -vvI https://good.gtsr1.demo.pki.goog/; \ openssl s_client -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \ curl -vvI https://good.gtsr1x.demo.pki.goog/; \ openssl s_client -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;
প্রয়োজনীয় সরঞ্জামগুলি পাওয়ার নির্দেশাবলীর জন্য, প্রশ্ন দেখুন আমার প্রয়োজনীয় সরঞ্জামগুলি কোথায় পেতে পারি? .
একটি সমর্থন মামলা দায়ের
Google মানচিত্র প্ল্যাটফর্ম সমর্থন এবং সম্পদের অধীনে একটি সমর্থন কেস তৈরি করার জন্য অনুগ্রহ করে নির্দেশাবলী অনুসরণ করুন৷
একটি সমর্থন মামলা দায়ের করার সময়, প্রাথমিক সমস্যা সমাধান বিভাগে তালিকাভুক্ত ডেটা ছাড়াও, অনুগ্রহ করে নিম্নলিখিতগুলিও প্রদান করুন:
- আপনার পাবলিক আইপি ঠিকানা কি?
- আপনার DNS সার্ভারের সর্বজনীন আইপি ঠিকানা কি?
- যদি সম্ভব হয়, একটি tcpdump বা Wireshark প্যাকেট ক্যাপচার করা ব্যর্থ TLS আলোচনার জন্য PCAP ফরম্যাটে
https://maps.googleapis.com/, একটি যথেষ্ট বড় স্ন্যাপশট-দৈর্ঘ্য ব্যবহার করে পুরো প্যাকেটটি ছাঁটাই না করে ক্যাপচার করা (যেমন-s0অন ব্যবহার করেtcpdumpএর পুরানো সংস্করণ)। - যদি সম্ভব হয়, আপনার পরিষেবা থেকে লগ উদ্ধৃতাংশ সঠিক TLS সংযোগ ব্যর্থতার কারণ দেখায়, বিশেষত সম্পূর্ণ সার্ভার শংসাপত্র চেইন তথ্য সহ।
প্রয়োজনীয় সরঞ্জামগুলি পাওয়ার নির্দেশাবলীর জন্য, প্রশ্ন দেখুন আমার প্রয়োজনীয় সরঞ্জামগুলি কোথায় পেতে পারি? .
পাবলিক ইস্যু 186840968 পোস্ট করা হচ্ছে
পাবলিক ইস্যু 186840968 এ একটি মন্তব্য পোস্ট করার সময়, অনুগ্রহ করে প্রাথমিক সমস্যা সমাধান বিভাগে তালিকাভুক্ত তথ্য অন্তর্ভুক্ত করুন।
আমি কিভাবে আমার DNS এর সর্বজনীন ঠিকানা নির্ধারণ করতে পারি?
লিনাক্সে, আপনি নিম্নলিখিত কমান্ডটি চালাতে পারেন:
dig -t txt o-o.myaddr.l.google.com
উইন্ডোজে আপনি ইন্টারেক্টিভ মোডে nslookup ব্যবহার করতে পারেন:
C:\> nslookup -
set type=TXT
o-o.myaddr.l.google.com
কিভাবে কার্ল আউটপুট ব্যাখ্যা
-vvI পতাকা সহ curl চালানো অনেক দরকারী তথ্য প্রদান করে। আউটপুট ব্যাখ্যা করার জন্য এখানে কয়েকটি নির্দেশাবলী রয়েছে:
- '
*' দিয়ে শুরু হওয়া লাইনগুলি TLS আলোচনা থেকে আউটপুট প্রদর্শন করে, সেইসাথে সংযোগ সমাপ্তির তথ্য। - '
>' দিয়ে শুরু হওয়া লাইনগুলিcurlপাঠানো বহির্গামী HTTP অনুরোধ প্রদর্শন করে। - '
<' দিয়ে শুরু হওয়া লাইনগুলি সার্ভার থেকে পাওয়া HTTP প্রতিক্রিয়া প্রদর্শন করে। - প্রোটোকলটি HTTPS হলে, '
>' বা '<' লাইনের উপস্থিতি একটি সফল TLS হ্যান্ডশেক বোঝায়।
ব্যবহৃত TLS লাইব্রেরি এবং রুট সার্টিফিকেট বান্ডেল
-vvI পতাকাগুলির সাথে curl চালানোর ফলে ব্যবহৃত রুট সার্টিফিকেট স্টোরও প্রিন্ট করা হয়, তবে এখানে দেখানো হিসাবে সঠিক আউটপুট সিস্টেমের জন্য পরিবর্তিত হতে পারে।
একটি Red Hat Linux মেশিনের আউটপুটে NSS-এর সাথে সংযুক্ত curl সহ এই লাইনগুলি থাকতে পারে:
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
একটি উবুন্টু বা ডেবিয়ান লিনাক্স মেশিনের আউটপুটে এই লাইনগুলি থাকতে পারে:
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
একটি উবুন্টু বা ডেবিয়ান লিনাক্স মেশিন থেকে আউটপুট Google রুট সার্টিফিকেট PEM ফাইল ব্যবহার করে --cacert পতাকা ব্যবহার করে এই লাইনগুলি থাকতে পারে:
* successfully set certificate verify locations:
* CAfile: /home/<user>/Downloads/roots.pem
CApath: /etc/ssl/certs
ব্যবহারিক দূত
বহির্গামী অনুরোধগুলিতে ব্যবহারকারী-এজেন্ট শিরোনাম রয়েছে, যা curl এবং আপনার সিস্টেম সম্পর্কে দরকারী তথ্য প্রদান করতে পারে।
একটি Red Hat Linux মেশিন থেকে একটি উদাহরণ:
> HEAD / HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh1/1.4.2
> Host: maps.googleapis.com
> Accept: */*
>
TLS হ্যান্ডশেক ব্যর্থ হয়েছে৷
লাইনগুলি, যেমন এই কোড নমুনাগুলির মতো, একটি অবিশ্বস্ত সার্ভার শংসাপত্রের কারণে সংযোগটি TLS-হ্যান্ডশেকের মাঝামাঝি বন্ধ হয়ে গেছে। > বা < দিয়ে শুরু হওয়া ডিবাগ আউটপুটের অনুপস্থিতিও একটি অসফল সংযোগ প্রচেষ্টার শক্তিশালী সূচক:
*** SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0**
সফল TLS হ্যান্ডশেক
একটি সফল TLS হ্যান্ডশেক এই কোড নমুনাগুলির সাথে একই রকম দেখতে লাইনের উপস্থিতি দ্বারা নির্দেশিত হয়৷ এনক্রিপ্ট করা সংযোগের জন্য ব্যবহৃত সাইফার স্যুটটি তালিকাভুক্ত করা উচিত, যেমনটি গৃহীত সার্ভার শংসাপত্রের বিবরণ থাকা উচিত। অধিকন্তু, > বা < দিয়ে শুরু হওয়া লাইনের উপস্থিতি নির্দেশ করে যে পেলোড HTTP ট্র্যাফিক সফলভাবে TLS এনক্রিপ্ট করা সংযোগের মাধ্যমে প্রেরণ করা হচ্ছে:
* Trying 108.177.15.95:443...
* Connected to maps.googleapis.com (108.177.15.95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
* subject: C=US; ST=California; L=Mountain View; O=Google LLC; CN=upload.video.google.com
* start date: Mar 23 08:24:47 2021 GMT
* expire date: Jun 15 08:24:46 2021 GMT
* subjectAltName: host "maps.googleapis.com" matched cert's "*.googleapis.com"
* issuer: C=US; O=Google Trust Services; CN=GTS CA 1O1
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x55c4acf0c560)
> HEAD / HTTP/2
> Host: maps.googleapis.com
> user-agent: curl/7.74.0
> accept: */*
>
> HTTP/2 302
…
মানব পাঠযোগ্য আকারে প্রাপ্ত সার্ভার সার্টিফিকেট কিভাবে প্রিন্ট করবেন
আউটপুটটি PEM ফর্ম্যাট করা হয়েছে বলে ধরে নিচ্ছে, যেমন openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null থেকে আউটপুট, আপনি এই পদক্ষেপগুলি অনুসরণ করে সার্ভ করা শংসাপত্রটি মুদ্রণ করতে পারেন:
শিরোনাম এবং ফুটার সহ সম্পূর্ণ বেস 64 এনকোডেড শংসাপত্র অনুলিপি করুন:
-----BEGIN CERTIFICATE----- … -----END CERTIFICATE-----তারপর করুন:
openssl x509 -inform pem -noout -text ````তারপর আপনার কপি বাফারের বিষয়বস্তু টার্মিনালে পেস্ট করুন।
রিটার্ন কী টিপুন।
উদাহরণস্বরূপ ইনপুট এবং আউটপুট, মানব পাঠযোগ্য আকারে কীভাবে PEM শংসাপত্র প্রিন্ট করবেন বিভাগটি দেখুন।
ওপেনএসএসএল-এ ক্রস-স্বাক্ষরিত Google শংসাপত্রগুলি কেমন দেখায়?
…
---
Certificate chain
0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demo.pki.goog
i:C = US, O = Google Trust Services LLC, CN = GTS Y1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
1 s:C = US, O = Google Trust Services LLC, CN = GTS Y1
i:C = US, O = Google Trust Services LLC, CN = GTS Root R1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
2 s:C = US, O = Google Trust Services LLC, CN = GTS Root R1
i:C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
---
Server certificate
subject=C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demo.pki.goog
issuer=C = US, O = Google Trust Services LLC, CN = GTS Y1
---
…
আপনার বিশ্বস্ত সার্টিফিকেট পরিচালনা করা
আমি কিভাবে আমার মোবাইল ফোনে বিশ্বস্ত রুট সার্টিফিকেট চেক করতে পারি?
অ্যান্ড্রয়েড বিশ্বস্ত সার্টিফিকেট
প্রশ্নে উল্লিখিত হিসাবে মোবাইল অ্যাপগুলি কি ভাঙার ঝুঁকিতে রয়েছে? , অ্যান্ড্রয়েড সংস্করণ 4.0 থেকে হ্যান্ডসেট ব্যবহারকারীদের সেটিংসের অধীনে বিশ্বস্ত শংসাপত্রের তালিকা যাচাই করার অনুমতি দিয়েছে। এই টেবিলটি সঠিক সেটিংস মেনু পথ দেখায়:
| অ্যান্ড্রয়েড সংস্করণ | মেনু পথ |
|---|---|
| 1.x, 2.x, 3.x | N/A |
| 4.x, 5.x, 6.x, 7.x | সেটিংস > নিরাপত্তা > বিশ্বস্ত শংসাপত্র |
| 8.x, 9 | সেটিংস > নিরাপত্তা ও অবস্থান > এনক্রিপশন ও শংসাপত্র > বিশ্বস্ত প্রমাণপত্রাদি |
| 10+ | সেটিংস > নিরাপত্তা > উন্নত > এনক্রিপশন ও শংসাপত্র > বিশ্বস্ত প্রমাণপত্রাদি |
এই সারণীটি বর্তমানে উপলব্ধ অ্যান্ড্রয়েড ভার্চুয়াল ডিভাইস (এভিডি) সিস্টেম চিত্রগুলি ব্যবহার করে ম্যানুয়াল যাচাইকরণের উপর ভিত্তি করে অ্যান্ড্রয়েড সংস্করণ প্রতি সর্বাধিক গুরুত্বপূর্ণ রুট শংসাপত্রগুলির সম্ভাব্য প্রাপ্যতার চিত্র তুলে ধরে, AOSP ca-শংসাপত্র গিট রিপোজিটরি সংস্করণের ইতিহাসে ফিরে আসে, যেখানে সিস্টেমের চিত্রগুলি ছিল না। আর উপলব্ধ:
| অ্যান্ড্রয়েড সংস্করণ | GTS রুট R1 | GlobalSign Root CA - R1 | GlobalSign Root R2 (15 ডিসেম্বর, 2021 পর্যন্ত বৈধ) |
|---|---|---|---|
| 2.3, 3.2, 4.x, 5.x, 6.x, 7.x, 8.x, 9 | |||
| 10+ |
অ্যান্ড্রয়েড সিস্টেম রুট সার্টিফিকেট স্টোর আপডেট করা সাধারণত ফার্মওয়্যার আপডেট বা ডিভাইস রুট করা ছাড়া সম্ভব নয়। যাইহোক, বেশিরভাগ অ্যান্ড্রয়েড সংস্করণে যেগুলি এখনও ব্যাপকভাবে ব্যবহার করা হচ্ছে, বিশ্বস্ত রুট সার্টিফিকেটের বর্তমান সেটটি বর্তমানের বিদ্যমান ডিভাইসগুলির কার্যকরী জীবনকালের বাইরে বহু বছরের জন্য নিরবচ্ছিন্ন পরিষেবা প্রদান করতে পারে।
সংস্করণ 7.0 থেকে শুরু করে, Android অ্যাপ্লিকেশন বিকাশকারীদের বিশ্বস্ত শংসাপত্র যোগ করার জন্য একটি নিরাপদ পদ্ধতি অফার করে যা শুধুমাত্র তাদের অ্যাপ্লিকেশন দ্বারা বিশ্বস্ত। এটি অ্যাপ্লিকেশানের সাথে শংসাপত্রগুলিকে একত্রিত করে এবং একটি কাস্টম নেটওয়ার্ক সুরক্ষা কনফিগারেশন তৈরি করার মাধ্যমে করা হয়, যেমনটি নিরাপত্তা এবং গোপনীয়তা নেটওয়ার্ক সুরক্ষা কনফিগারেশন প্রশিক্ষণ নথিতে Android সেরা অনুশীলনের বর্ণনা করা হয়েছে৷
যাইহোক, যেহেতু তৃতীয় পক্ষের অ্যাপ্লিকেশন বিকাশকারীরা Google Play Services APK থেকে উদ্ভূত ট্র্যাফিকের নেটওয়ার্ক নিরাপত্তা কনফিগারেশনকে প্রভাবিত করতে সক্ষম হবে না, এই ধরনের প্রচেষ্টা সম্ভবত শুধুমাত্র একটি আংশিক সমাধান প্রদান করবে।
পুরানো লিগ্যাসি ডিভাইসগুলিতে, আপনার একমাত্র উপলব্ধ বিকল্পটি হবে ব্যবহারকারী-সংযোজিত CA-এর উপর নির্ভর করা, হয় শেষ ব্যবহারকারী ডিভাইসে প্রয়োগ করা কর্পোরেট গ্রুপ নীতি দ্বারা ইনস্টল করা, অথবা শেষ ব্যবহারকারীদের দ্বারা।
iOS ট্রাস্ট স্টোর
যদিও অ্যাপল সরাসরি হ্যান্ডসেট ব্যবহারকারীকে তার বিশ্বস্ত রুট সার্টিফিকেটের ডিফল্ট সেট দেখায় না, কোম্পানির কাছে iOS সংস্করণ 5 এবং অ্যাপল সাপোর্ট নিবন্ধ থেকে বিশ্বস্ত রুট CA-এর সেটগুলির লিঙ্ক রয়েছে:
- iOS 12.1.3, macOS 10.14.3, watchOS 5.1.3, এবং tvOS 12.1.2-এ উপলব্ধ বিশ্বস্ত রুট সার্টিফিকেটের তালিকা
- iOS 5 এবং iOS 6: উপলব্ধ বিশ্বস্ত রুট শংসাপত্রের তালিকা ।
যাইহোক, iOS ডিভাইসে ইনস্টল করা যেকোনো অতিরিক্ত সার্টিফিকেট সেটিংস > সাধারণ > প্রোফাইলের অধীনে দৃশ্যমান হওয়া উচিত। যদি কোনো অতিরিক্ত শংসাপত্র ইনস্টল না করা হয়, প্রোফাইল মেনু আইটেম প্রদর্শিত নাও হতে পারে।
এই সারণীটি উপরের উত্সগুলির উপর ভিত্তি করে, প্রতি iOS সংস্করণে সবচেয়ে গুরুত্বপূর্ণ রুট শংসাপত্রের উপলব্ধতার চিত্র তুলে ধরে:
| iOS সংস্করণ | GTS রুট R1 | GlobalSign Root CA - R1 | GlobalSign Root R2 (15 ডিসেম্বর, 2021 পর্যন্ত বৈধ) |
|---|---|---|---|
| 5, 6, 7, 8, 9, 10, 11, 12.0 | |||
| 12.1.3+ |
আমার সিস্টেম রুট শংসাপত্রের দোকান কোথায় এবং আমি কিভাবে এটি আপডেট করতে পারি?
ডিফল্ট রুট সার্টিফিকেট স্টোরের অবস্থান অপারেটিং সিস্টেম এবং ব্যবহৃত SSL/TLS লাইব্রেরির সাথে পরিবর্তিত হয়। যাইহোক, বেশিরভাগ লিনাক্স ডিস্ট্রিবিউশনে, ডিফল্ট রুট শংসাপত্রগুলি নিম্নলিখিত পথগুলির মধ্যে একটির অধীনে পাওয়া যেতে পারে:
-
/usr/local/share/ca-certificates: ডেবিয়ান, উবুন্টু, পুরানো RHEL এবং CentOS সংস্করণ -
/etc/pki/ca-trust/source/anchorsএবং/usr/share/pki/ca-trust-source: ফেডোরা, নতুন RHEL এবং CentOS সংস্করণ -
/var/lib/ca-certificates: OpenSUSE
অন্যান্য শংসাপত্র পাথ অন্তর্ভুক্ত হতে পারে:
-
/etc/ssl/certs: ডেবিয়ান, উবুন্টু -
/etc/pki/tls/certs: RHEL, CentOS
এই ডিরেক্টরিগুলির মধ্যে কিছু শংসাপত্র সম্ভবত অন্যান্য ডিরেক্টরির ফাইলগুলির প্রতীকী লিঙ্ক।
OpenSSL রুট সার্টিফিকেট স্টোর
OpenSSL ব্যবহার করে অ্যাপ্লিকেশনগুলির জন্য, আপনি নিম্নলিখিত কমান্ডটি ব্যবহার করে ডিফল্ট রুট সার্টিফিকেট স্টোর সহ এর ইনস্টল করা উপাদানগুলির কনফিগার করা অবস্থান পরীক্ষা করতে পারেন:
openssl version -d
কমান্ডটি OPENSSLDIR প্রিন্ট আউট করে, যা লাইব্রেরি এবং এর কনফিগারেশনের শীর্ষ স্তরের ডিরেক্টরির সাথে মিলে যায়:
OPENSSLDIR: "/usr/lib/ssl"
মূল শংসাপত্রের দোকানটি certs সাবডিরেক্টরিতে অবস্থিত।
ls -l /usr/lib/ssl/certs
lrwxrwxrwx 1 root root 14 Apr 21 2020 /usr/lib/ssl/certs -> /etc/ssl/certs
ls -l /etc/ssl/certs
…
-rw-r--r-- 1 root root 214904 Apr 15 17:01 ca-certificates.crt
…
lrwxrwxrwx 1 root root 50 Apr 15 16:57 GTS_Root_R1.pem -> /usr/share/ca-certificates/mozilla/GTS_Root_R1.crt
…
যদি OpenSSL উপরের উদাহরণের মতো ডিফল্ট সিস্টেম রুট সার্টিফিকেট স্টোরের উপর নির্ভর করে, তাহলে টপ-লেভেল বিভাগটি দেখুন আমার সিস্টেম রুট সার্টিফিকেট স্টোর কোথায় এবং আমি কিভাবে এটি আপডেট করতে পারি? সিস্টেম রুট সার্টিফিকেট বান্ডিল আপ টু ডেট নিশ্চিত করতে.
openssl পাওয়ার নির্দেশাবলীর জন্য, OpenSSL পাওয়া বিভাগটি দেখুন।
জাভা রুট সার্টিফিকেট স্টোর
জাভা অ্যাপ্লিকেশনগুলি তাদের নিজস্ব রুট সার্টিফিকেট স্টোর ব্যবহার করতে পারে , যা লিনাক্স সিস্টেমে সাধারণত /etc/pki/java/cacerts বা /usr/share/ca-certificates-java এ অবস্থিত, যা Java keytool কমান্ড-লাইন টুল ব্যবহার করে পরিচালনা করা যেতে পারে। .
আপনার জাভা শংসাপত্র স্টোরে একটি পৃথক শংসাপত্র আমদানি করতে, নিম্নলিখিত কমান্ডটি ইস্যু করুন:
keytool -import -trustcacerts -file cert.pem -alias alias -keystore certs.jks
শুধুমাত্র প্রতিটি প্রস্তাবিত রুট সার্টিফিকেটের সাথে সম্পর্কিত সার্টিফিকেট ফাইলের সাথে cert.pem প্রতিস্থাপন করুন, একটি অনন্য কিন্তু অর্থপূর্ণ সার্টিফিকেটের alias সহ, এবং আপনার পরিবেশে ব্যবহৃত সার্টিফিকেট ডাটাবেস ফাইলের সাথে certs.jks ।
আরও তথ্যের জন্য, অনুগ্রহ করে নিম্নলিখিত ওরাকল এবং স্ট্যাক ওভারফ্লো নিবন্ধগুলি পড়ুন:
- জাভা প্ল্যাটফর্ম, স্ট্যান্ডার্ড সংস্করণ টুলস রেফারেন্স: কীটুল
- ডিফল্ট জাভা ইনস্টলেশনের ক্যাসার্টের অবস্থান কীভাবে পাবেন?
- ডিফল্টরূপে সমস্ত জাভা অ্যাপ্লিকেশনের জন্য উপলব্ধ জাভা কীস্টোরে একটি স্ব-স্বাক্ষরিত শংসাপত্র কীভাবে সঠিকভাবে আমদানি করবেন?
মজিলা এনএসএস রুট সার্টিফিকেট স্টোর
Mozilla NSS ব্যবহার করা অ্যাপ্লিকেশনগুলি ডিফল্টরূপে /etc/pki/nssdb অধীনে অবস্থিত একটি সিস্টেম-ওয়াইড সার্টিফিকেট ডাটাবেস বা ${HOME}/.pki/nssdb অধীনে একটি ব্যবহারকারী-নির্দিষ্ট ডিফল্ট স্টোর ব্যবহার করতে পারে।
আপনার NSS ডাটাবেস আপডেট করার জন্য, certutil টুল ব্যবহার করুন।
আপনার NSS ডাটাবেসে একটি পৃথক শংসাপত্র ফাইল আমদানি করতে, নিম্নলিখিত কমান্ডটি ইস্যু করুন:
certutil -A -t "C,," -i cert.pem -n cert-name -d certdir
শুধুমাত্র প্রতিটি প্রস্তাবিত রুট সার্টিফিকেটের সাথে সংশ্লিষ্ট সার্টিফিকেট ফাইলের সাথে cert.pem প্রতিস্থাপন করুন, একটি অর্থপূর্ণ সার্টিফিকেট ডাকনাম সহ cert-name এবং আপনার পরিবেশে ব্যবহৃত সার্টিফিকেট ডাটাবেস পাথের সাথে certdir ।
আরও তথ্যের জন্য, অনুগ্রহ করে অফিসিয়াল NSS Tools certutil ম্যানুয়াল, সেইসাথে আপনার অপারেটিং সিস্টেম ডকুমেন্টেশন দেখুন।
Microsoft .NET রুট সার্টিফিকেট স্টোর
Windows .NET বিকাশকারীরা তাদের রুট সার্টিফিকেট স্টোর আপডেট করার জন্য কমপক্ষে নিম্নলিখিত Microsoft নিবন্ধগুলি উপযোগী খুঁজে পেতে পারে:
সার্টিফিকেট ফাইল ফরম্যাট
একটি PEM ফাইল কি?
প্রাইভেসি-এনহ্যান্সড মেল (পিইএম) হল একটি ডি-ফ্যাক্টো স্ট্যান্ডার্ড টেক্সচুয়াল ফাইল ফরম্যাট যা ক্রিপ্টোগ্রাফিক সার্টিফিকেট, কী, ইত্যাদি সংরক্ষণ এবং পাঠানোর জন্য, যা RFC 7468 -এ ডি-জুর স্ট্যান্ডার্ড হিসাবে আনুষ্ঠানিক।
ফাইল বিন্যাস নিজেই মানুষের পাঠযোগ্য, যদিও Base64 এনকোডেড বাইনারি শংসাপত্র ডেটা তথ্য নয়। যাইহোক, PEM স্পেসিফিকেশন টেক্সট এনকোডেড সার্টিফিকেট বডির আগে বা পরে ব্যাখ্যামূলক টেক্সট নির্গত করার অনুমতি দেয়, এবং অনেক টুল এই বৈশিষ্ট্যটি ব্যবহার করে একটি শংসাপত্রের সবচেয়ে প্রাসঙ্গিক ডেটা উপাদানগুলির একটি পরিষ্কার-টেক্সট সারাংশও প্রদান করে।
openssl এর মতো টুলগুলি সম্পূর্ণ শংসাপত্রকে মানব-পাঠযোগ্য আকারে ডিকোড করতে ব্যবহার করা যেতে পারে। আরও তথ্যের জন্য মানব পাঠযোগ্য আকারে কীভাবে PEM শংসাপত্র প্রিন্ট করবেন বিভাগটি দেখুন।
একটি ".crt" ফাইল কি?
যে টুলগুলি PEM ফর্ম্যাটে সার্টিফিকেট রপ্তানি করার অনুমতি দেয় সেগুলি সাধারণত ফাইল এক্সটেনশন ".crt" ব্যবহার করে নির্দেশ করে যে ফাইলটি একটি পাঠ্য এনকোডিং ব্যবহার করে৷
একটি DER ফাইল কি?
বিশিষ্ট এনকোডিং নিয়ম (DER) হল এনকোডিং শংসাপত্রের জন্য একটি প্রমিত বাইনারি বিন্যাস। PEM ফাইলের শংসাপত্রগুলি সাধারণত বেস64 এনকোডেড DER শংসাপত্র।
একটি ".cer" ফাইল কি?
একটি ".cer" প্রত্যয় সহ একটি রপ্তানি করা ফাইলে একটি PEM-এনকোডেড শংসাপত্র থাকতে পারে , তবে আরও সাধারণত একটি বাইনারি, সাধারণত DER-এনকোডেড শংসাপত্র। নিয়ম অনুসারে, ".cer" ফাইলগুলিতে সাধারণত শুধুমাত্র একটি শংসাপত্র থাকে৷
আমার সিস্টেম roots.pem থেকে সমস্ত শংসাপত্র আমদানি করতে অস্বীকার করে
কিছু সিস্টেম, যেমন, Java keytool , একটি PEM ফাইল থেকে শুধুমাত্র একটি শংসাপত্র আমদানি করতে পারে, যদিও এতে একাধিক থাকে। প্রশ্ন দেখুন কিভাবে আমি roots.pem থেকে পৃথক সার্টিফিকেট বের করব? ফাইলটি প্রথমে কীভাবে বিভক্ত করা যায় তা দেখতে।
আমি কিভাবে roots.pem থেকে পৃথক সার্টিফিকেট বের করব?
আপনি নিম্নলিখিত সাধারণ ব্যাশ স্ক্রিপ্ট ব্যবহার করে roots.pem এর উপাদান শংসাপত্রে বিভক্ত করতে পারেন:
csplit -z -f roots.pem. roots.pem '/-----END CERTIFICATE-----/+1' '{*}' &>/dev/null && \
for f in roots.pem.*; \
do mv "${f}" $(openssl x509 -in "${f}" -noout -issuer_hash).pem; \
done
এটি এখানে তালিকাভুক্ত ফাইলগুলির মতো একাধিক পৃথক PEM ফাইল তৈরি করবে:
ls -l *.pem
-rw-r----- 1 <user> <group> 2217 Apr 28 11:04 02265526.pem
-rw-r----- 1 <user> <group> 1722 Apr 28 11:04 062cdee6.pem
-rw-r----- 1 <user> <group> 1279 Apr 28 11:04 0a775a30.pem
-rw-r----- 1 <user> <group> 2425 Apr 28 11:04 1001acf7.pem
-rw-r----- 1 <user> <group> 1796 Apr 28 11:04 106f3e4d.pem
-rw-r----- 1 <user> <group> 1315 Apr 28 11:04 1d3472b9.pem
-rw-r----- 1 <user> <group> 1919 Apr 28 11:04 244b5494.pem
-rw-r----- 1 <user> <group> 1668 Apr 28 11:04 2b349938.pem
-rw-r----- 1 <user> <group> 1651 Apr 28 11:04 2c543cd1.pem
-rw-r----- 1 <user> <group> 1858 Apr 28 11:04 3513523f.pem
-rw-r----- 1 <user> <group> 2000 Apr 28 11:04 40547a79.pem
-rw-r----- 1 <user> <group> 1862 Apr 28 11:04 4a6481c9.pem
-rw-r----- 1 <user> <group> 1927 Apr 28 11:04 4bfab552.pem
-rw-r----- 1 <user> <group> 1745 Apr 28 11:04 5ad8a5d6.pem
-rw-r----- 1 <user> <group> 1813 Apr 28 11:04 607986c7.pem
-rw-r----- 1 <user> <group> 2425 Apr 28 11:04 626dceaf.pem
-rw-r----- 1 <user> <group> 1738 Apr 28 11:04 653b494a.pem
-rw-r----- 1 <user> <group> 2294 Apr 28 11:04 6b99d060.pem
-rw-r----- 1 <user> <group> 2510 Apr 28 11:04 75d1b2ed.pem
-rw-r----- 1 <user> <group> 1788 Apr 28 11:04 76cb8f92.pem
-rw-r----- 1 <user> <group> 1383 Apr 28 11:04 7f3d5d1d.pem
-rw-r----- 1 <user> <group> 1668 Apr 28 11:04 93bc0acc.pem
-rw-r----- 1 <user> <group> 1220 Apr 28 11:04 9c8dfbd4.pem
-rw-r----- 1 <user> <group> 1838 Apr 28 11:04 9d04f354.pem
-rw-r----- 1 <user> <group> 1279 Apr 28 11:04 a3418fda.pem
-rw-r----- 1 <user> <group> 2194 Apr 28 11:04 aee5f10d.pem
-rw-r----- 1 <user> <group> 1249 Apr 28 11:04 b0e59380.pem
-rw-r----- 1 <user> <group> 1882 Apr 28 11:04 b1159c4c.pem
-rw-r----- 1 <user> <group> 2346 Apr 28 11:04 b727005e.pem
-rw-r----- 1 <user> <group> 1940 Apr 28 11:04 cbf06781.pem
-rw-r----- 1 <user> <group> 2609 Apr 28 11:04 d6325660.pem
-rw-r----- 1 <user> <group> 2474 Apr 28 11:04 dc4d6a89.pem
-rw-r----- 1 <user> <group> 1358 Apr 28 11:04 dd8e9d41.pem
-rw-r----- 1 <user> <group> 1972 Apr 28 11:04 ee64a828.pem
-rw-r----- 1 <user> <group> 1462 Apr 28 11:04 eed8c118.pem
-rw-r----- 1 <user> <group> 1944 Apr 28 11:04 f081611a.pem
-rw-r----- 1 <user> <group> 1488 Apr 28 11:04 f30dd6ad.pem
-rw-r----- 1 <user> <group> 1975 Apr 28 11:04 f387163d.pem
-rw-r----- 1 <user> <group> 2632 Apr 28 11:04 fc5a8f99.pem
-rw-r----- 1 <user> <group> 72865 Apr 20 12:44 roots.pem
পৃথক PEM ফাইলগুলি, যেমন 02265526.pem তারপর আলাদাভাবে আমদানি করা যেতে পারে, বা আপনার শংসাপত্র স্টোর গ্রহণ করে এমন একটি ফাইল ফর্ম্যাটে আরও রূপান্তরিত করা যেতে পারে।
কিভাবে একটি PEM ফাইল এবং আমার সিস্টেম দ্বারা সমর্থিত একটি বিন্যাসের মধ্যে রূপান্তর করতে হয়
OpenSSL টুলকিট কমান্ড-লাইন টুল openssl সাধারণভাবে ব্যবহৃত সকল সার্টিফিকেট ফাইল ফরম্যাটের মধ্যে ফাইল রূপান্তর করতে ব্যবহার করা যেতে পারে। একটি PEM ফাইল থেকে সর্বাধিক ব্যবহৃত সার্টিফিকেট ফাইল ফরম্যাটে রূপান্তর করার জন্য নির্দেশাবলী নীচে তালিকাভুক্ত করা হয়েছে৷
উপলব্ধ বিকল্পগুলির একটি সম্পূর্ণ তালিকার জন্য, অফিসিয়াল OpenSSL কমান্ড লাইন ইউটিলিটি ডকুমেন্টেশন দেখুন।
openssl পাওয়ার নির্দেশাবলীর জন্য, OpenSSL পাওয়া বিভাগটি দেখুন।
আমি কিভাবে একটি PEM ফাইলকে DER ফরম্যাটে রূপান্তর করব?
openssl ব্যবহার করে আপনি একটি ফাইলকে PEM থেকে DER তে রূপান্তর করতে নিম্নলিখিত কমান্ডটি ইস্যু করতে পারেন:
openssl x509 -in roots.pem -outform der -out roots.der
আমি কিভাবে একটি PEM ফাইলকে PKCS #7 এ রূপান্তর করব?
openssl ব্যবহার করে আপনি একটি ফাইলকে PEM থেকে PKCS #7 এ রূপান্তর করতে নিম্নলিখিত কমান্ডটি ইস্যু করতে পারেন:
openssl crl2pkcs7 -nocrl -certfile roots.pem -out roots.p7b
আমি কিভাবে একটি PEM ফাইলকে PKCS #12 (PFX) এ রূপান্তর করব?
openssl ব্যবহার করে আপনি একটি ফাইলকে PEM থেকে PKCS #12 তে রূপান্তর করতে নিম্নলিখিত কমান্ডটি ইস্যু করতে পারেন:
openssl pkcs12 -export -info -in roots.pem -out roots.p12 -nokeys
একটি PKCS #12 সংরক্ষণাগার তৈরি করার সময় আপনাকে একটি ফাইল পাসওয়ার্ড প্রদান করতে হবে৷ আপনি যদি অবিলম্বে আপনার সিস্টেমে PKCS #12 ফাইলটি আমদানি না করেন তবে পাসওয়ার্ডটি নিরাপদ কোথাও সংরক্ষণ করা নিশ্চিত করুন৷
আপনার রুট সার্টিফিকেট স্টোর থেকে সার্টিফিকেট তালিকা, মুদ্রণ এবং রপ্তানি করা
আমি কীভাবে জাভা কী স্টোর থেকে একটি PEM ফাইল হিসাবে একটি শংসাপত্র রপ্তানি করব?
keytool ব্যবহার করে আপনি আপনার শংসাপত্রের দোকানে সমস্ত শংসাপত্র তালিকাভুক্ত করতে নিম্নলিখিত কমান্ডটি ইস্যু করতে পারেন, প্রতিটি রপ্তানি করতে আপনি যে উপনাম ব্যবহার করতে পারেন তার সাথে:
keytool -v -list -keystore certs.jks
শুধু আপনার পরিবেশে ব্যবহৃত সার্টিফিকেট ডাটাবেস ফাইল দিয়ে certs.jks প্রতিস্থাপন করুন। এই কমান্ডটি প্রতিটি শংসাপত্রের উপনামও দেখাবে, যদি আপনি এটি রপ্তানি করতে চান তবে আপনার প্রয়োজন হবে।
PEM বিন্যাসে একটি পৃথক শংসাপত্র রপ্তানি করতে, নিম্নলিখিত কমান্ড ইস্যু করুন:
keytool -exportcert -rfc -keystore certs.jks -alias alias > alias.pem
শুধু আপনার পরিবেশে ব্যবহৃত সার্টিফিকেট ডাটাবেস ফাইলের সাথে certs.jks প্রতিস্থাপন করুন এবং আপনি যে শংসাপত্রটি রপ্তানি করতে চান তার সাথে সম্পর্কিত একটি alias এবং alias.pem প্রদান করুন৷
আরও তথ্যের জন্য, অনুগ্রহ করে জাভা প্ল্যাটফর্ম, স্ট্যান্ডার্ড সংস্করণ টুল রেফারেন্স: কীটুল ম্যানুয়াল দেখুন।
আমি কীভাবে এনএসএস রুট সার্টিফিকেট স্টোর থেকে একটি পিইএম ফাইল হিসাবে শংসাপত্র রপ্তানি করব?
certutil ব্যবহার করে আপনি আপনার শংসাপত্রের দোকানে সমস্ত শংসাপত্র তালিকাভুক্ত করতে নিম্নলিখিত কমান্ডটি জারি করতে পারেন, ডাকনামের সাথে আপনি প্রতিটি রপ্তানি করতে ব্যবহার করতে পারেন:
certutil -L -d certdir
শুধু আপনার পরিবেশে ব্যবহৃত সার্টিফিকেট ডাটাবেস পাথ দিয়ে certdir প্রতিস্থাপন করুন। এই কমান্ডটি প্রতিটি শংসাপত্রের ডাকনামও দেখাবে, যদি আপনি এটি রপ্তানি করতে চান তাহলে আপনার প্রয়োজন হবে।
PEM বিন্যাসে একটি পৃথক শংসাপত্র রপ্তানি করতে, নিম্নলিখিত কমান্ড ইস্যু করুন:
certutil -L -n cert-name -a -d certdir > cert.pem
শুধুমাত্র আপনার পরিবেশে ব্যবহৃত সার্টিফিকেট ডাটাবেস পাথ দিয়ে certdir প্রতিস্থাপন করুন এবং আপনি যে শংসাপত্রটি রপ্তানি করতে চান তার সাথে সংশ্লিষ্ট একটি cert-name এবং cert.pem প্রদান করুন।
আরও তথ্যের জন্য, অনুগ্রহ করে অফিসিয়াল NSS Tools certutil ম্যানুয়াল, সেইসাথে আপনার অপারেটিং সিস্টেম ডকুমেন্টেশন দেখুন।
কিভাবে মানুষের পাঠযোগ্য আকারে PEM শংসাপত্র প্রিন্ট করবেন
নিম্নলিখিত উদাহরণগুলিতে আমরা অনুমান করি যে আপনার কাছে নিম্নলিখিত বিষয়বস্তু সহ GTS_Root_R1.pem ফাইল রয়েছে:
# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
OpenSSL ব্যবহার করে সার্টিফিকেট ফাইল প্রিন্ট করা
আদেশ জারি করা
openssl x509 -in GTS_Root_R1.pem -text
অনুরূপ কিছু আউটপুট করা উচিত:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
Signature Algorithm: sha384WithRSAEncryption
Issuer: C = US, O = Google Trust Services LLC, CN = GTS Root R1
Validity
Not Before: Jun 22 00:00:00 2016 GMT
Not After : Jun 22 00:00:00 2036 GMT
Subject: C = US, O = Google Trust Services LLC, CN = GTS Root R1
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (4096 bit)
Modulus:
…
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
E4:AF:2B:26:71:1A:2B:48:27:85:2F:52:66:2C:EF:F0:89:13:71:3E
Signature Algorithm: sha384WithRSAEncryption
…
openssl পাওয়ার নির্দেশাবলীর জন্য, OpenSSL পাওয়া বিভাগটি দেখুন।
জাভা কীটুল ব্যবহার করে সার্টিফিকেট প্রিন্ট করা
নিম্নলিখিত কমান্ড জারি
keytool -printcert -file GTS_Root_R1.pem
অনুরূপ কিছু আউটপুট করা উচিত:
Owner: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Issuer: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Serial number: 6e47a9c54b470c0dec33d089b91cf4e1
Valid from: Wed Jun 22 02:00:00 CEST 2016 until: Sun Jun 22 02:00:00 CEST 2036
Certificate fingerprints:
SHA1: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
SHA256: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
Signature algorithm name: SHA384withRSA
Subject Public Key Algorithm: 4096-bit RSA key
Version: 3
Extensions:
#1: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#2: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
Key_CertSign
Crl_Sign
]
#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: E4 AF 2B 26 71 1A 2B 48 27 85 2F 52 66 2C EF F0 ..+&q.+H'./Rf,..
0010: 89 13 71 3E ..q>
]
]
keytool পাওয়ার নির্দেশাবলীর জন্য, জাভা কীটুল পাওয়া বিভাগটি দেখুন।
আমার রুট সার্টিফিকেট স্টোরে কোন সার্টিফিকেট ইনস্টল করা আছে তা আমি কিভাবে দেখতে পারি?
এটি অপারেটিং সিস্টেম এবং SSL/TLS লাইব্রেরি অনুসারে পরিবর্তিত হয়। যাইহোক, যে টুলগুলি রুট সার্টিফিকেট স্টোর থেকে শংসাপত্র আমদানি এবং রপ্তানি করার অনুমতি দেয় সেগুলি সাধারণত ইনস্টল করা শংসাপত্রগুলি তালিকাভুক্ত করার একটি বিকল্প প্রদান করে।
এছাড়াও, আপনি যদি সফলভাবে PEM ফাইলগুলিতে বিশ্বস্ত রুট শংসাপত্রগুলি রপ্তানি করে থাকেন, বা আপনার রুট শংসাপত্রের দোকানে ইতিমধ্যেই সংরক্ষিত PEM ফাইল রয়েছে, আপনি যে কোনও পাঠ্য সম্পাদকে ফাইলগুলি খোলার চেষ্টা করতে পারেন, কারণ এটি একটি সাধারণ পাঠ্য ফাইল বিন্যাস।
PEM ফাইলটি যথাযথভাবে লেবেলযুক্ত হতে পারে, সংশ্লিষ্ট শংসাপত্র কর্তৃপক্ষের মানব পাঠযোগ্য তথ্য প্রদান করে ( বিশ্বস্ত Google রুট CA বান্ডেল থেকে উদাহরণ):
# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1"
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
ফাইলটিতে শুধু শংসাপত্রের অংশ থাকতে পারে। এই ধরনের ক্ষেত্রে, ফাইলের নাম, যেমন GTS_Root_R1.pem শংসাপত্রটি কোন CA-এর অন্তর্গত তা বর্ণনা করতে পারে। -----BEGIN CERTIFICATE----- এবং -----END CERTIFICATE----- টোকেনগুলির মধ্যে শংসাপত্রের স্ট্রিং প্রতিটি CA-এর জন্য অনন্য হওয়ার নিশ্চয়তাও রয়েছে৷
যাইহোক, আপনার কাছে উপরের টুলের অভাব থাকলেও, যেহেতু বিশ্বস্ত Google রুট CA বান্ডেলের প্রতিটি শংসাপত্র সঠিকভাবে লেবেল করা আছে, আপনি Issuer দ্বারা বা PEM তুলনা করে আপনার রুট সার্টিফিকেট স্টোরের বান্ডেল অ্যাগানিস্টের রুট CAগুলির সাথে নির্ভরযোগ্যভাবে মিলতে পারেন। ফাইল সার্টিফিকেট স্ট্রিং।
ওয়েব ব্রাউজারগুলি তাদের নিজস্ব রুট সার্টিফিকেট স্টোর ব্যবহার করতে পারে বা অপারেটিং দ্বারা প্রদত্ত ডিফল্টের উপর নির্ভর করতে পারে। যাইহোক, সমস্ত আধুনিক ব্রাউজার আপনাকে তাদের বিশ্বাস করা রুট CA-এর সেটগুলি পরিচালনা করতে বা অন্তত দেখতে অনুমতি দেবে। প্রশ্ন দেখুন জাভাস্ক্রিপ্ট অ্যাপ্লিকেশনগুলি কি ভাঙার ঝুঁকিতে রয়েছে? বিস্তারি তথ্যের জন্য.
মোবাইল ফোনের নির্দিষ্ট নির্দেশাবলীর জন্য, আলাদা প্রশ্ন দেখুন কিভাবে আমি আমার মোবাইল ফোনে বিশ্বস্ত রুট সার্টিফিকেট পরীক্ষা করতে পারি? .
পরিশিষ্ট
আরো তথ্য প্রয়োজন?
সর্বদা প্রাথমিকভাবে আপনার অপারেটিং সিস্টেম ডকুমেন্টেশন, আপনার অ্যাপ্লিকেশন প্রোগ্রামিং ভাষা(গুলি) এর ডকুমেন্টেশন, সেইসাথে আপনার অ্যাপ্লিকেশন ব্যবহার করছে এমন কোনো বহিরাগত লাইব্রেরি থেকে ডকুমেন্টেশনের উপর নির্ভর করুন।
এই প্রায়শই জিজ্ঞাসিত প্রশ্নগুলি সহ তথ্যের অন্য কোনও উত্স পুরানো বা অন্যথায় ভুল হতে পারে এবং এটিকে প্রামাণিক হিসাবে নেওয়া উচিত নয়৷ যাইহোক, আপনি এখনও স্ট্যাক এক্সচেঞ্জ প্রশ্নোত্তর সম্প্রদায়ের অনেকগুলি, সেইসাথে লিনাক্সের অ্যাডামডব্লিউ- এর মতো সাইট এবং অন্যদের মধ্যে নিশ্চিত ব্লগে দরকারী তথ্য পেতে পারেন৷
অনুগ্রহ করে Google Trust Services FAQ ও দেখুন।
সার্টিফিকেট পিনিংয়ের মতো উন্নত বিষয় সম্পর্কে আরও বিশদ বিবরণের জন্য, আপনি ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট (OWASP) সার্টিফিকেট এবং পাবলিক কী পিনিং নিবন্ধ এবং পিনিং চিট শীট তথ্যপূর্ণ খুঁজে পেতে পারেন। অ্যান্ড্রয়েড নির্দিষ্ট নির্দেশাবলীর জন্য, দয়া করে HTTPS এবং SSL প্রশিক্ষণ নথির সাথে নিরাপত্তা এবং গোপনীয়তা সুরক্ষার জন্য অফিসিয়াল Android সেরা অনুশীলন দেখুন৷ অ্যান্ড্রয়েডে সার্টিফিকেট বনাম পাবলিক কী পিনিং সম্পর্কে আলোচনার জন্য, আপনি ম্যাথিউ ডলানের ব্লগ পোস্ট অ্যান্ড্রয়েড সিকিউরিটি: এসএসএল পিনিং দরকারী খুঁজে পেতে পারেন।
নিরাপত্তা এবং গোপনীয়তা নেটওয়ার্ক নিরাপত্তা কনফিগারেশন প্রশিক্ষণ নথি এবং JeroenHD এর ব্লগ পোস্ট Android 7 Nougat এবং শংসাপত্র কর্তৃপক্ষের জন্য Android সেরা অনুশীলনগুলি Android এ অতিরিক্ত বিশ্বস্ত শংসাপত্রগুলি পরিচালনা করার বিষয়ে আরও তথ্য প্রদান করে৷
AOSP দ্বারা বিশ্বস্ত রুট CA-এর একটি বিস্তৃত তালিকার জন্য, ca-certificates Git সংগ্রহস্থল দেখুন। অনানুষ্ঠানিক অ্যান্ড্রয়েড ফর্কের উপর ভিত্তি করে যেকোনো সংস্করণের জন্য, যেমন LineageOS, OS বিক্রেতার দ্বারা প্রদত্ত উপযুক্ত সংগ্রহস্থলগুলি দেখুন।