Geekly Articles each Day

Windows Azure: Microsoft परिवर्तन रूट पहचान प्रमाणपत्र

SSL पर उपलब्ध सभी Windows Azure सेवाएँ आज एकल रूट प्रमाणपत्र के आधार पर प्रमाणपत्र श्रृंखलाओं का उपयोग करती हैं: GTE CyberTrust Global Root । Microsoft ने इसे एक अधिक विश्वसनीय बाल्टीमोर साइबरट्रस्ट रूट (md5 के बजाय sha1 और 1024 के बजाय सार्वजनिक कुंजी के 2048 बिट्स) में बदलने का फैसला किया। प्रवासन 15 अप्रैल, 2013 से शुरू होगा और कई महीनों तक चलेगा। सभी एज़्योर एसएसएल / टीएसएल सेवा प्रमाणपत्र बदल दिए जाएंगे।

प्लेटफ़ॉर्म के अधिकांश उपयोगकर्ता और इसमें होस्ट किए गए एप्लिकेशन किसी भी परिवर्तन को नोटिस नहीं करेंगे: "नया" बाल्टीमोर साइबरट्रस्ट रूट नए से बहुत दूर है और विंडोज, विंडोज फोन, एंड्रॉइड और आईओएस सहित कई ओएस के रूट प्रमाणपत्रों की सूची में मौजूद है। यह IE, सफारी, क्रोम, फ़ायरफ़ॉक्स और ओपेरा द्वारा मान्यता प्राप्त है। अल्पसंख्यक को 15 अप्रैल से पहले कार्रवाई करने की सलाह दी जाती है।

रूट सर्टिफिकेट क्या है?


Windows Azure API और प्रबंधन पोर्टल SSL और TSL के माध्यम से सुलभ हैं। यदि आप पोर्टल में लॉग इन करते हैं और प्रमाणपत्र की जानकारी प्राप्त करते हैं, तो आप निम्नलिखित देख सकते हैं:



इसका मतलब यह है कि कनेक्शन Microsoft सुरक्षित सर्वर प्राधिकरण द्वारा संरक्षित है, जिसे Microsoft इंटरनेट प्राधिकरण प्रमाणपत्र द्वारा हस्ताक्षरित किया गया है, जिसकी विश्वसनीयता GTE CyberTrust Global Root द्वारा पुष्टि की जाती है।

जीटीई साइबरट्रस्ट ग्लोबल रूट - रूट और स्व-हस्ताक्षरित । उसके लिए वाउचर करने वाला कोई नहीं है, लेकिन सिस्टम उस पर भरोसा करता है, क्योंकि उसे रूट सर्टिफिकेट की सूची में जोड़ा जाता है। ब्राउज़र केवल प्रबंधन पर भरोसा करता है ।windowsazure.com केवल इसलिए कि पूरी चेन को ज्ञात कुछ मूल प्रमाणपत्रों में से एक पर हस्ताक्षर किए गए हैं।

यदि 15 अप्रैल को इस श्रृंखला में रूट बदलता है तो क्या होगा?


सबसे अच्छे मामले में, आप कुछ भी नोटिस नहीं करेंगे - नया रूट प्रमाणपत्र आपके सिस्टम के साथ ही पुराने के रूप में भी जाना जाएगा (यानी यह पहले से ही विश्वसनीय लोगों की सूची में है), और सब कुछ पहले की तरह काम करता रहेगा।

कम से कम, यदि आपकी सुरक्षा नीति अमान्य प्रमाणपत्रों के साथ SSL कनेक्शन को प्रतिबंधित करती है और बाल्टीमोर साइबरट्रस्ट रूट को रूट के रूप में पंजीकृत नहीं किया गया है, तो आपका ब्राउज़र आपको पोर्टल पर (और इसके द्वारा हस्ताक्षरित सभी अन्य साइटों पर) जाने की अनुमति नहीं देगा।

उसी तरह, * .windowsazure.com, * .accesscontrol.windows.net, * .core.windows.net, आदि पर स्थित सभी Azure सेवाओं के लिए प्रमाणपत्र बदल दिए जाएंगे। इसका मतलब यह है कि यदि आपके पास एक एप्लिकेशन है जो सीधे उनमें से एक के साथ काम करता है (उदाहरण के लिए, ब्लॉब स्टोरेज या सर्विस बस का उपयोग करता है), तो 15 अप्रैल को नए एसएसएल प्रमाणपत्रों का सामना करना शुरू हो जाएगा और कुछ मामलों में, यह इसके लिए तैयार नहीं हो सकता है घटनाओं की बारी।

यह चिंता किसकी है?


  1. वेब एप्लिकेशन को Azure में होस्ट किया गया है और यह SSL: जैसे कि https: //*.azurewebsites.net या https: //*.cloudapp.net जैसे पते पर उपयोगकर्ताओं को समाप्त करने के लिए उपलब्ध है। - 15 अप्रैल से, नए रूट प्रमाणपत्र के बिना उपयोगकर्ता सुरक्षा जोखिमों के बारे में भयावह ब्राउज़र संदेश प्राप्त करना शुरू कर सकते हैं।
  2. एप्लिकेशन / सेवा / एजेंट एक वर्चुअल मशीन (एज़्योर वीएम रोल) पर स्थापित है, एज़्योर स्टोरेज या अन्य एज़्योर सेवा का उपयोग करता है, और बाल्टीमोर साइबरट्रस्ट रूट इस वर्चुअल मशीन के रूट प्रमाणपत्र की सूची में नहीं है। - 15 अप्रैल से, सेवा कार्यक्षमता खो सकती है।
  3. SharePoint सर्वर का उपयोग Azure सेवाओं (उदाहरण के लिए, ACS (* .accesscontrol.windows.net)) और बाल्टीमोर साइबरट्रेस्ट रूट के लिए "ट्रस्ट रिलेशनशिप" नहीं है। - 15 अप्रैल से, SharePoint अब उनसे कनेक्ट नहीं होगा और फॉर्म के त्रुटि संदेशों के साथ आपके EventLog पर बमबारी करना शुरू कर देगा
    "एक ऑपरेशन विफल हो गया क्योंकि निम्न प्रमाणपत्र में सत्यापन त्रुटियां हैं: ... प्रमाणपत्र श्रृंखला की जड़ एक विश्वसनीय रूट प्राधिकरण नहीं है"
  4. आपका एप्लिकेशन एक गैर-मानक प्रमाणपत्र सत्यापन प्रणाली का उपयोग करता है (उदाहरण के लिए, .net: अनुप्रयोग अपने स्वयं के ServerCertificateValidationCallback को लागू करता है)। - सत्यापन तर्क के आधार पर, यह काम करना बंद कर सकता है।


इस मामले में क्या करना है?


  1. यदि यह एक नियमित वेबसाइट है, तो हम यह मान सकते हैं कि जिन उपयोगकर्ताओं के पास बाल्टीमोर साइबरट्रस्ट रूट नहीं है, वे गायब हैं। लेकिन शायद उन्हें चेतावनी दी जाए और एक नए प्रमाण पत्र के लिए एक लिंक दिया जाए: cacert.omniroot.com/bc2025.crt
  2. सुनिश्चित करें कि वर्चुअल मशीन के सभी उदाहरणों पर बाल्टीमोर साइबरट्रस्ट रूट स्थापित है।
  3. बाल्टीमोर साइबरट्रस्ट रूट के साथ "ट्रस्ट रिलेशनशिप" बनाएं।
  4. तर्क की जाँच करें।


कौन इसकी चिंता नहीं करता है?


  1. Azure पर होस्ट किए गए वेब एप्लिकेशन और www.myapp.com जैसे पते पर उपयोगकर्ताओं को उपलब्ध करने के लिए उपलब्ध हैं (इसका मतलब है कि एप्लिकेशन आपके स्वयं के प्रमाण पत्र का उपयोग करता है, जो किसी भी तरह से नहीं बदलेगा)।
  2. एज़्योर में क्लाउड सेवा के रूप में होस्ट किए गए एप्लिकेशन को .net में लिखा जाता है और संसाधनों तक पहुंचने के लिए मानक .net लाइब्रेरी का उपयोग करते हैं (प्लेटफ़ॉर्म सब कुछ का ख्याल रखेगा)।
  3. ऐसे अनुप्रयोग जो एसएसएल का उपयोग नहीं करते हैं।


और निश्चित रूप से, 15 अप्रैल तक एज़्योर पर अपलोड किए गए प्रबंधन, उपयोगकर्ता और अन्य सभी प्रकार के प्रमाण पत्र स्वचालित रूप से नहीं बदलेंगे।

Source: https://habr.com/ru/post/In173477/

More articles:


All Articles