সংক্ষিপ্ত বিবরণ
যখন একটি TLS সংযোগ ব্যর্থ হয়, তখন Cato সম্ভবত TLS প্রোটোকল সতর্কতা, X.509 সার্টিফিকেট বৈধ্যতা ত্রুটি এবং অভ্যন্তরীণ SSL প্রক্রিয়াজাতকরণের ত্রুটি পর্যবেক্ষণ করতে পারে। এই গাইডটি Cato Management Application (CMA) ইভেন্টে দৃশ্যমান ক্ষেত্রগুলির উপর দৃষ্টি নিবদ্ধ করে এবং TLS ত্রুটির কারণ যে Cato সার্টিফিকেট বা TLS পরিদর্শন দ্বারা ঘটে তা অনুমান না করে এগুলি কীভাবে সমঝোতা করা যায় তা ব্যাখ্যা করে।
গুরুত্বপূর্ণ: CMA-তে দেখানো X.509 সার্টিফিকেট বৈধ্যতা ত্রুটিগুলি গন্তব্য সার্ভারের সার্টিফিকেটের বৈধ্যতা সম্পর্কিত। এগুলি Cato সার্টিফিকেটের সাথে সম্পর্কিত কোনো সমস্যা নির্দেশ করে না। TLS ত্রুটি বর্ণনা ক্ষেত্রের TLS প্রোটোকল সতর্কতাগুলি ক্লায়েন্ট বা সার্ভারের দ্বারা উত্পন্ন হতে পারে।
এসকল ত্রুটি মানগুলো শিল্পে প্রচলিত। এগুলি TLS প্রোটোকল থেকে প্রাপ্ত, যা Cato TLS সম্পর্কিত ইভেন্ট বৈধ্যতার জন্য ব্যবহার করে। ফলস্বরূপ, ত্রুটি নাম এবং বিবরণগুলি standard OpenSSL আচরণকে প্রতিফলিত করে এবং সর্বদা পরিবেশে লক্ষ্য করা সমস্যার সাথে সঠিকভাবে মিলবে না এবং যেকোনো সময় পরিবর্তিত হতে পারে।
কোন TLS ক্ষেত্রগুলি CMA-তে দৃশ্যমান?
| CMA ক্ষেত্র | এটি কী প্রতিনিধিত্ব করে | এটি কীভাবে ব্যবহার করবেন |
| TLS ত্রুটি বর্ণনা | TLS বিনিময়ের সময় পর্যবেক্ষিত একটি TLS প্রোটোকল সতর্কতা, যেমন অজানা ca, সার্টিফিকেট অজানা, হ্যান্ডশেক ব্যর্থতা, বা খারাপ রেকর্ড মাক। | TLS সেশনের ব্যর্থ হওয়ার প্রোটোকল-স্তরের কারণ বুঝতে প্রাথমিক ক্ষেত্র হিসাবে এটি ব্যবহার করুন। সতর্কতাটি উভয় প্রান্ত থেকে আসতে পারে। |
| TLS সার্টিফিকেট ত্রুটি | গন্তব্য সার্ভারের সার্টিফিকেট যাচাইকরণের সময় সনাক্ত করা একটি X.509 সার্টিফিকেট বৈধ্যতা সমস্যা, যেমন সার্টিফিকেট মেয়াদোত্তীর্ণ হয়েছে, হোস্টনেম মিশম্যাচ, অথবা সার্টিফিকেট চেইনে স্বাক্ষরিত সার্টিফিকেট। | গন্তব্য সার্ভার সার্টিফিকেট বা সার্টিফিকেট চেইনের সমস্যাগুলি সনাক্ত করতে এটি ব্যবহার করুন। এই ত্রুটিগুলি সাধারণত গ্রাহক প্রান্ত এবং Cato সার্টিফিকেট কনফিগারেশনের বাইরে থাকে। |
| TLS ত্রুটি ধরন | প্রোটোকল দ্বারা রিপোর্ট করা TLS সতর্কতার গুরুত্বমান নির্দেশ করে, যেমন সতর্কতা বা মারাত্মক। | কেবল প্রসঙ্গ হিসাবে এটি ব্যবহার করুন। মারাত্মক সতর্কতাগুলি সেশন বন্ধ করে দেয়; সতর্কতা সতর্কতা এটি বন্ধ করতে পারে বা নাও করতে পারে সেটি প্রান্তের আচরণের উপর নির্ভর করে। |
ক্লায়েন্ট-সাইড এবং সার্ভার-সাইড সতর্কতাগুলি ব্যাখ্যা করার পদ্ধতি
একটি TLS সতর্কতা উল্লেখ করে যে একটি প্রান্ত নিয়ন্ত্রণের সময় বা রেকর্ড বিনিময়ের সময় কি রিপোর্ট করেছে। সতর্কতার পাশ গুরুত্বপূর্ণ:
- ক্লায়েন্ট-সাইড সতর্কতা: ক্লায়েন্টটি প্রাপ্ত কিছু কিছু অস্বীকার করেছে অথবা মাথাপিছু চালিয়ে যাওয়া যেতে পারে না বলে সিদ্ধান্ত নিয়েছে। TLS পরিদর্শন পরিস্থিতিতে, এটি সার্টিফিকেট পরিদর্শনের সময় উপস্থাপিত সার্টিফিকেট প্রত্যাখ্যান করা, সার্টিফিকেট পরামিতি প্রত্যাখ্যান করা, বা প্রোটোকল বা সাইফার মিশম্যাচের কারণে ব্যর্থ হতে পারে।
- সার্ভার-সাইড সতর্কতা: গন্তব্য সার্ভারটি হ্যান্ডশেক প্রত্যাখ্যান করেছে অথবা ক্লায়েন্ট-সাইডের আচরণ, প্রোটোকল পরামিতি, সাইফার আলোচনার সাথে সমস্যা রিপোর্ট করেছে, বা রেকর্ড প্রক্রিয়াকরণে।
- CMA সতর্কতার বিবরণ প্রদর্শন করে, কিন্তু সতর্কতার পাশ প্রদর্শিত হয় না। সাপোর্ট সহায়তা সঙ্গে ডায়াগনস্টিক্স নিশ্চিত করার জন্য প্রয়োজন হতে পারে যে কোন প্রান্ত সতর্কতা পাঠিয়েছে।
প্রস্তাবিত সমস্যার সমাধানের পদ্ধতি
- প্রোটোকল সতর্কতার জন্য TLS ত্রুটি বর্ণনা ক্ষেত্র এবং গন্তব্য সার্ভার সার্টিফিকেট বৈধ্যতা সমস্যাগুলির জন্য TLS সার্টিফিকেট ত্রুটি ক্ষেত্র দিয়ে শুরু করুন।
- সার্টিফিকেট সম্পর্কিত TLS সতর্কতা সর্বদা বলে যে Cato Root CA অনুপস্থিত তা মনে করার প্রয়োজন নেই। প্রথমে নির্ধারণ করুন যে সতর্কতাটি একটি TLS প্রোটোকল সতর্কতা নাকি একটি X.509 বৈধ্যতা ত্রুটি।
- কোনও অ্যাপ্লিকেশন এবং নিরাপত্তা নীতি অনুযায়ী প্রযোজ্য হওয়ার সময় কেবলমাত্র গন্তব্য বাইপাস হয়ে গেলে TLS পরিদর্শন বন্ধ থাকা আচরণের সাথে তুলনা করুন।
- স্থিতিশীল সমস্যার জন্য, গন্তব্য সার্টিফিকেট চেইন, হোস্টনেম/SAN, সমর্থিত TLS সংস্করণগুলি, এবং সাইফার স্যুটগুলি যাচাই করুন। প্যাকেট ক্যাপচ্যুয়ারে সাহায্য করে নিশ্চিত করুন যে কোন পাশ সতর্কতা পাঠিয়েছে।
উন্নত সমস্যার সমাধানের জন্য অনুগ্রহ করে এখানে যান TLS পরিদর্শন সমস্যার সমাধান
সাধারণ ত্রুটি এবং তাদের অর্থ
নিম্নলিখিত টেবিলগুলি সবচেয়ে সাধারণ TLS ত্রুটি বর্ণনা করে (ইভেন্ট লগের "TLS ত্রুটি বর্ণনা" ক্ষেত্রের মধ্যে প্রদর্শিত হিসাবে), তাদের সাধারণ কারণ এবং সাধারণ প্রতিকারধর্মী পদক্ষেপগুলির সাথে।
সার্টিফিকেট এবং বিশ্বাস সম্পর্কিত TLS সতর্কতা
| TLS ত্রুটি বর্ণনা | সাধারণ সতর্কতা পাশ | অর্থ | সাধারণ কারণ এবং প্রতিকার |
| অজানা ca | ক্লায়েন্ট পাশে | সার্টিফিকেট জারিকারক পীয়ার দ্বারা বিশ্বাস করা হয় না। | ক্লায়েন্টটি সম্ভবত উপস্থাপিত সার্টিফিকেট জারি করা CA বিশ্বাস করে না। TLS পরিদর্শন পরিস্থিতিতে, নিশ্চিত করুন যে Cato Root CA ইনস্টল করা এবং প্রান্তে বিশ্বাস করা হয়। অনুপস্থিত মধ্যস্তোগুলি বা ব্যক্তিগত CA বিশ্বাসের প্রয়োজনীয়তাগুলির জন্যও দেখুন। |
| সার্টিফিকেট অজানা | ক্লায়েন্ট পাশে | জেনেরিক বা অপ্রদত্ত কারণে সার্টিফিকেটটি প্রত্যাখ্যাত হয়েছে। | এটি প্রায়শই একটি বিস্তৃত ক্লায়েন্ট প্রত্যাখ্যান। সার্টিফিকেট বৈধ্যতা, কী ব্যবহার, চেইনের সম্পূর্ণতা, প্রান্তের বিশ্বাসের দোকান এবং অ্যাপ্লিকেশন-নির্দিষ্ট সার্টিফিকেট বৈধ্যতা আচরণ যাচাই করুন। প্রয়োজন হলে নিষ্ক্রিয় TLS পরিদর্শনের সাথে তুলনা করুন। |
| খারাপ সার্টিফিকেট | ক্লায়েন্ট পাশে | সার্টিফিকেট বৈধ্যতা যাচাইকরণে ব্যর্থ হয়েছে। | সম্ভাব্য কারণগুলির মধ্যে অন্তর্ভুক্ত থাকতে পারে অপ্রশস্ত কী ব্যবহার, চেইনে সমস্যা, হোস্টনেম মিশম্যাচ, সার্টিফিকেট পিনিং, অথবা অ্যাপ্লিকেশনটি পরীক্ষা করা সার্টিফিকেট প্রত্যাখ্যান করা। সার্টিফিকেট বিশ্বাস/চেইন সমস্যাগুলি স্থির করুন অথবা যে অ্যাপ্লিকেশনগুলি পরীক্ষা করা যায় না তাদের জন্য TLS পরিদর্শন বাইপাস করুন। |
| অসমর্থিত সার্টিফিকেট | ক্লায়েন্ট পাশ, অসাধারণ | সার্টিফিকেটটি অসমর্থিত পরামিতি বা অ্যালগোরিদম ব্যবহার করে। | দুর্বল বা অবাঞ্ছিত অ্যালগোরিদম এবং কী আধুনিক সমর্থিত মানগুলির সাথে প্রতিস্থাপন করুন। |
X.509 গন্তব্য সার্ভার সার্টিফিকেট বৈধ্যতা ত্রুটিগুলি
| TLS সার্টিফিকেট ত্রুটি | সাধারণ উৎস | অর্থ | সাধারণ কারণ এবং প্রতিকার |
| সার্টিফিকেট মেয়াদোত্তীর্ণ হয়েছে | সার্ভার সার্টিফিকেট | গন্তব্য সার্ভার সার্টিফিকেট তার বৈধ্যতা সময়ের বাইরে। | ওয়েবসাইট বা পরিষেবা মালিক সার্টিফিকেট নবায়ন করতে হবে এবং যথাযথ সার্টিফিকেট ঘূর্ণন নিশ্চিত করতে হবে। |
| স্থানীয় জারিকারক সার্টিফিকেট পাওয়া যায়নি | সার্ভার সার্টিফিকেট চেইন | সার্টিফিকেট যাচাই করতে প্রয়োজনীয় জারিকারক বা মধ্যস্থ সার্টিফিকেটটি অনুপস্থিত অথবা বিশ্বাস করা হয় না। | গন্তব্য সার্ভারকে সম্পূর্ণ সার্টিফিকেট চেইন উপস্থাপন করা উচিত। এটি সাধারণত গন্তব্য পরিষেবা মালিক দ্বারা সমাধান করা হয়। |
| IP ঠিকানা মিশম্যাচ | সার্ভার সার্টিফিকেট পরিচিতি | সার্টিফিকেটটি সংযোগের জন্য ব্যবহৃত IP ঠিকানার সাথে মেলে না। | পরিষেবাটি তার FQDN দ্বারা অ্যাক্সেস করুন বা প্রযোজ্য হলে সার্ভার সার্টিফিকেট SAN-এ IP ঠিকানাটি অন্তর্ভুক্ত করতে আপডেট করুন। |
| হোস্টনেম মিশম্যাচ | সার্ভার সার্টিফিকেট পরিচিতি | সার্টিফিকেটটি অনুরোধকৃত হোস্টনেমের সাথে মেলে না। | সার্ভার সার্টিফিকেট SAN/CN সংশোধন করুন অথবা নিশ্চিত করুন যে ব্যবহারকারীরা যে হোস্টনেম সার্টিফিকেট দ্বারা কাভার করা হয়েছে তা ব্যবহার করে পরিষেবাতে অ্যাক্সেস করে। |
| স্বাক্ষরিত সার্টিফিকেট | সার্ভার সার্টিফিকেট বিশ্বাস | গন্তব্য একটি স্ব-স্বাক্ষরিত সার্টিফিকেট উপস্থাপন করে যা ডিফল্টভাবে বিশ্বাস করা যায় না। | একটি পাবলিকভাবে বিশ্বাসযোগ্য বা এন্টারপ্রাইজ-প্রভৃত CA সার্টিফিকেট ব্যবহার করুন, অথবা উপযুক্ত হলে স্পষ্টভাবে সার্টিফিকেট বিশ্বাস করুন। |
| সার্টিফিকেট চেইনে স্ব-স্বাক্ষরিত সার্টিফিকেট | সার্ভার সার্টিফিকেট চেইন | সার্ভার সার্টিফিকেট চেইনে স্ব-স্বাক্ষরিত সার্টিফিকেট দেখা যায়। | চেইনটি সঠিকভাবে বিশ্বাসযোগ্য CA চেইনের সাথে প্রতিস্থাপন করুন বা যাচাইকরণের পক্ষ দ্বারা প্রাসঙ্গিক CA বিশ্বাস করা হয় তা নিশ্চিত করুন। |
প্রোটোকল, সংস্করণ, এবং সাইফার সতর্কতা
| TLS ত্রুটি বর্ণনা | সাধারণ সতর্কতা পাশ | অর্থ | সাধারণ কারণ এবং প্রতিকার |
| প্রোটোকল সংস্করণ | ক্লায়েন্ট পাশে | এন্ডপয়েন্টগুলি একটি সমর্থিত TLS সংস্করণে সম্মতিতে আসতে পারে না। | প্রাচীন ক্লায়েন্ট বা সার্ভার আপগ্রেড করুন এবং সমর্থিত সংস্করণগুলির সাথে ওভারল্যাপ নিশ্চিত করুন, পছন্দসইভাবে TLS 1.2 বা TLS 1.3। |
| হ্যান্ডশেক ব্যর্থতা | ক্লায়েন্ট পাশে | হ্যান্ডশেক সম্পন্ন করা যায়নি, প্রায়শই কারণ কোন মিউচুয়ালি গ্রহণযোগ্য পরামিতি পাওয়া যায়নি। | সমর্থিত TLS সংস্করণ, সাইফার স্যুট, এক্সটেনশন, SNI আচরণ এবং সার্টিফিকেট প্রয়োজনীয়তাগুলি পরীক্ষা করুন। ক্লায়েন্ট এবং সার্ভার TLS কনফিগারেশন প্রান্তিকে সামঞ্জস্য করুন। |
| অবৈধ পরামিতি | প্রধানত ক্লায়েন্ট-পার্শ্ব; এটি সার্ভার-পার্শ্বও হতে পারে | একটি এন্ডপয়েন্ট TLS হ্যান্ডশেক প্যারামিটারকে বাতিল হিসাবে প্রত্যাখ্যাত করেছে। | অসমর্থিত গ্রুপ/সিগনেচার অ্যালগরিদম বা অ-মানত্র ক্লায়েন্ট/সার্ভার বাস্তবায়নের জন্য অসমর্থনীয় TLS এক্সটেনশন পরীক্ষা করুন। স্থায়ী ক্ষেত্রে প্যাকেট ক্যাপচার ব্যবহার করুন। |
| অপর্যাপ্ত নিরাপত্তা | সার্ভার-পার্শ্ব, অস্বাভাবিক | একটি এন্ডপয়েন্ট আলোচিত প্যারামিটারগুলোকে দুর্বল হিসাবে বিবেচনা করেছে। | অপ্রচলিত প্রোটোকল এবং দুর্বল সাইফার নিষ্ক্রিয় করুন। প্রভাবিত এন্ডপয়েন্টে আধুনিক সাইফার স্যুট এবং নিরাপত্তা নীতিমালা কনফিগার করুন। |
রেকর্ড-লেয়ার এবং বিভিন্ন TLS সতর্কতা
| TLS ত্রুটি বর্ণনা | প্রথাগত সতর্কতা প্রান্ত | অর্থ | সাধারণ কারণ এবং সংশোধনী |
| খারাপ রেকর্ড মাক | ক্লায়েন্ট-পার্শ্ব | একটি TLS রেকর্ড অখণ্ডতা চেক ব্যর্থ হয়েছে। | দূষিত ট্রাফিক, প্যাকেট ক্ষতি, মাধ্যমবক্সের হস্তক্ষেপ, বা ওভারল্যাপিং পরিদর্শন/প্রক্সি ডিজ়িন দ্বারা কারণ হতে পারে। পথ সামঞ্জস্য পরীক্ষা করুন এবং অন্যান্য হস্তক্ষেপকারী ডিভাইস ছাড়া তুলনা করুন। |
| ডিকোড ত্রুটি | সার্ভার-পার্শ্ব, অস্বাভাবিক | একটি TLS রেকর্ড বা হ্যান্ডশেক মান ডিকোড বা যাচাই করা যায়নি। | প্রোটোকল অমিল, মাধ্যমবক্সের হস্তক্ষেপ, বা বাস্তবায়নের সমস্যা খুঁজুন। ট্রাফিক পথ সরলীকরণ করুন এবং প্যাকেট ক্যাপচারের সাথে যাচাই করুন। |
| অপ্রত্যাশিত বার্তা | ক্লায়েন্ট-পার্শ্ব | একটি TLS বার্তা ক্রমের বাইরে পাওয়া গেছে। | সাধারণত প্রোটোকল অসঙ্গতি, অভিযোগহীন বাস্তবায়ন, বা বাগি এন্ডপয়েন্ট আচরণ ইঙ্গিত করে। প্রভাবিত ক্লায়েন্ট/সার্ভার আপগ্রেড করুন এবং যদি স্থায়ী হয় তাহলে প্যাকেট ক্যাপচারের সাথে যাচাই করুন। |
| অভ্যন্তরীণ ত্রুটি | ক্লায়েন্ট-পার্শ্ব | একটি TLS স্ট্যাকের ভিতরে জেনেরিক ব্যর্থতা ঘটেছে। | পরিবর্তনশীল বা বাস্তবায়ন-নির্দিষ্ট হতে পারে। যদি পুনরুত্পাদনযোগ্য হয়, ইভেন্ট বিশদ, এন্ডপয়েন্ট লগ এবং প্যাকেট ক্যাপচার সাপোর্ট বিশ্লেষণের জন্য সংগ্রহ করুন। |
| অজ্ঞাত | সার্ভার-পার্শ্ব | একটি সাধারণ বা অনির্ধারিত TLS সতর্কতা লক্ষ্য করা হয়েছে। | একটি বিস্তৃত ব্যর্থতা নির্দেশক হিসাবে বিবেচনা করুন। গন্তব্য আচরণ, প্যাকেট ক্যাপচার এবং সার্ভার-পার্শ্ব লগ দিয়ে যেখানে উপলব্ধ সমন্বয় করুন। |
| ডিকোড ত্রুটি | সার্ভার-পার্শ্ব | একটি TLS বার্তা সঠিকভাবে ডিকোড করা যায়নি। | প্রায়ই ক্ষতিগ্রস্ত TLS বার্তা, প্রোটোকল অমিল, বা বাস্তবায়নের ত্রুটির কারণে হয়। প্যাকেট ক্যাপচারের সাথে যাচাই করুন এবং প্রভাবিত TLS লাইব্রেরি বা অ্যাপ্লিকেশন আপডেট করুন। |
মূল ধারণা
- TLS প্রোটোকল সতর্কতার জন্য প্রধান CMA ক্ষেত্র হিসাবে TLS ত্রুটি বর্ণনা ব্যবহার করুন।
- গন্তব্য সার্ভার শংসাপত্রের যাচাইকরণ সমস্যা জন্য TLS সার্টিফিকেট ত্রুটি ব্যবহার করুন।
- CMA তে প্রদর্শিত X.509 ত্রুটিগুলি গন্তব্য সার্ভার শংসাপত্র সম্পর্কে, Cato শংসাপত্র নয়।
- ক্লায়েন্ট-পার্শ্ব শংসাপত্র সতর্কতা এন্ডপয়েন্টের বিশ্বাস, শংসাপত্র পিনিং, বা TLS পরিদর্শন বিশ্বাস স্থাপনের সাথে সম্পর্কিত হতে পারে; একটি সার্ভার-পার্শ্ব সতর্কতা সাধারণত গন্তব্য সার্ভার আচরণ অথবা প্রোটোকল আলোচনার দিকে নির্দেশ করে।
- CMA ইভেন্ট যথেষ্ট না হলে সমর্থন ডায়াগনস্টিক্সের সাথে সতর্কতা পার্শ্ব নিশ্চিত করুন।
অতিরিক্ত নির্দেশনার জন্য, আরও তথ্যের জন্য দয়া করে ক্লিক করুন TLS পরিদর্শনের জন্য সর্বোত্তম অনুশীলন
0 মন্তব্য
মন্তব্যের জন্য নিবন্ধটি বন্ধ করা হয়েছে।