- प्रमाण पत्र स्वयं सत्यापित करना और इसे एक सीए प्रमाण पत्र में बंधे जा सकते हैं जिसे आप पहले से भरोसा करते हैं, यह जांचने की अनुमति देता है कि प्रमाण पत्र वास्तविक और मान्य है।
- सर्टिफिकेट में होस्ट नाम की जांच करने से आप यह जांचने की अनुमति देते हैं कि आप जिस सर्वर से बात करना चाहते हैं उसके साथ बात कर रहे हैं, बशर्ते आपने प्रमाण पत्र को वास्तव में सत्यापित किया हो। (। जाँच हो रही है कि दूरदराज के पक्ष वास्तव में एक है कि प्रमाण पत्र के लिए निजी कुंजी धारण SSL/TLS हैंडशेक के भीतर किया जाता है)
आप पासपोर्ट/आईडी लोगों के लिए जाँच के साथ एक सादृश्य चाहते हैं:
- प्रमाण पत्र सत्यापित करना यह जांचना है कि पासपोर्ट या आईडी का एक रूप वास्तविक है। आप तय कर सकते हैं कि आप किस प्रकार के आईडी को किसी व्यक्ति से स्वीकार करना चाहते हैं (जैसे पासपोर्ट, ड्राइविंग लाइसेंस, स्टाफ कार्ड, ...) और कौन से जारीकर्ता देशों को आप भरोसा करते हैं ताकि वे अपनी प्रामाणिकता को सत्यापित कर सकें।
- यह जांचकर कि रिमोट पार्टी निजी कुंजी रखने वाला व्यक्ति है, यह जांचने के समान है कि पासपोर्ट/आईडी पर चित्र आपके सामने व्यक्ति के चेहरे से मेल खाता है।
- होस्ट नाम की जांच करना पासपोर्ट की जांच करना है, जिस व्यक्ति का नाम वह है जिसे आप ढूंढ रहे हैं।
यदि आप होस्ट नाम की जांच नहीं करते हैं, तो वैध पासपोर्ट वाला कोई भी व्यक्ति जो आप वास्तविक मानते हैं, वह आपके पास आ सकता है और दावा कर सकता है कि वे वह हैं जिसे आप ढूंढ रहे हैं (नाम से)।
परिस्थितियों, जहाँ आप केवल एक विशिष्ट सीए या स्व-हस्ताक्षरित प्रमाणपत्र जहां किसी भी संभावित प्रमाणपत्र तुम पर भरोसा प्रमाण पत्र के पूरे सेट में किसी भी अन्य रूप धारण करने के लिए अनुमति देते भरोसा के बहुत सीमित सेट में, यह इस सत्यापन की अनदेखी करने के लिए स्वीकार्य हो सकता है , लेकिन यह बहुत दुर्लभ है, और अच्छा अभ्यास नहीं है।
यह जांचकर कि पासपोर्ट में नाम उस व्यक्ति के नाम से मेल खाता है जिसे आप ढूंढ रहे हैं उसे सामान्य ज्ञान माना जाएगा; प्रमाण पत्र के लिए भी करो। ऐसा नहीं करने वाले किसी भी ऐसे प्रमाणपत्र की अनुमति देता है जिस पर आप भरोसा करते हैं कि आप किसी भी अन्य प्रमाण पत्र का प्रतिरूपण करने के लिए वास्तविक मानते हैं, जिससे संभावित रूप से एमआईटीएम हमले किए जाते हैं।
HTTPS होस्ट नाम सत्यापन नियम RFC 2818 Section 3.1 (हाल ही में "सर्वोत्तम प्रथाओं" spec, RFC 6125 में परिभाषित किए गए हैं, अभी तक बहुत अधिक लागू नहीं किए गए हैं)।
संक्षेप में, होस्ट का नाम विषय वैकल्पिक नाम DNS प्रविष्टि में होना चाहिए (हालांकि आप विषय डीएन के सीएन पर वापस आ सकते हैं जहां प्रमाण पत्र में कोई SAN नहीं है)। जब आप एक आईपी पता का उपयोग कर रहे हैं, तो आईपी पता SAN आईपी-एड्रेस एंट्री में होना चाहिए (हालांकि कुछ ब्राउज़र आपको विषय डीएन के सीएन में आईपी पते से दूर जाने देंगे)।
ऐसा नहीं है कि वे अपना स्वयं का हस्ताक्षरित प्रमाणपत्र बना सकते हैं, लेकिन डोमेन के बावजूद वे किसी विश्वसनीय सीए से प्राप्त प्रमाणपत्र का उपयोग कर सकते हैं। –
वे दोनों संभावनाएं हैं - यदि वे सीएन की जांच नहीं कर रहे हैं, तो वे शायद जारीकर्ता की जांच नहीं कर रहे हैं। – AviD
हां, मैं चीजों के निजी कुंजी हिस्से के बारे में भूल गया था। धन्यवाद। – user22627