TLS পরিদর্শন সমস্যা সমাধান

ভূমিকা

এই নিবন্ধটি উন্নত সমস্যা সমাধানের পরিস্থিতি কভার করে TLS পরিদর্শন. এগিয়ে যাওয়ার আগে TLS পরিদর্শন কনফিগারেশন এবং আচরণ পর্যালোচনা করার সুপারিশ করা হয় যাতে বুঝতে পারেন কীভাবে ট্রাফিক প্রক্রিয়াকরণ হয় এবং প্রয়োগ করা হয়.

সাধারণ শর্তের অধীনে, TLS পরিদর্শন ব্যবহারকারীদের জন্য দৃশ্যমান নয়। ট্রাফিক পরিদর্শন করা হচ্ছে কিনা যাচাই করতে, অ্যাকাউন্ট ইভেন্টের TLS পরিদর্শন ক্ষেত্র চেক করুন (1 = পরিদর্শিত, 0 = বাইপাস), ব্রাউজারে সার্টিফিকেট জারিকারক পরীক্ষা করুন (Cato Networks), অথবা TLS পরিদর্শন রিপোর্ট ব্যবহার করুন।

Cato বহুল প্রচলিত অ্যাপ্লিকেশন, ডিভাইস এবং ডোমেইনের জন্য ডিফল্ট বাইপাস নিয়ম সেট অন্তর্ভুক্ত করে। এই সিস্টেম-পরিচালিত নিয়মগুলি সম্পাদনযোগ্য নয় এবং কাস্টম নিয়ম তৈরি করার আগে সর্বদা পর্যালোচনা করা উচিত। অতিরিক্ত বিশদ জানতে, ডিফল্ট বাইপাস নিয়ম দেখুন

উপসর্গ

সম্ভাব্য কারণ

অধিকাংশ TLS পরিদর্শন সমস্যাগুলি কয়েকটি সাধারণ শর্তের সাথে যুক্ত।

  • কিছু অ্যাপ্লিকেশন TLS পরিদর্শনের সাথে সামঞ্জস্যপূর্ণ নয়। সার্টিফিকেট পিনিং, কঠিন TLS স্বীকৃতি, বা পারস্পরিক TLS ব্যবহৃত অ্যাপ্লিকেশনগুলি বাইপাসকে প্রত্যাখ্যান করবে এবং সংযোগ করতে ব্যর্থ হবে।

  • ক্লায়েন্টে সার্টিফিকেট বিশ্বাস সমস্যা আরেকটি প্রায়ই কারণ। যদি Cato রুট সার্টিফিকেট অনুপস্থিত থাকে, বিশ্বাসযোগ্য না হয়, বা অসমভাবে প্রয়োগ করা হয়, তবে নীতি সঠিক হলেও পরিদর্শিত ট্রাফিক ব্যর্থ হবে।

  • অন্য ক্ষেত্রে, সমস্যা গন্তব্য সার্ভার থেকে উদ্ভূত হয়। যেমন মেয়াদোত্তীর্ণ সার্টিফিকেট, অস্পূর্ণ চেইন, হোস্টনেম মিসম্যাচ, বা অজানা সার্টিফিকেট কর্তৃপক্ষ সমস্যাগুলি ব্রাউজারে দৃশ্যমান নাও হতে পারে যখন TLS পরিদর্শন সক্রিয় থাকে, কিন্তু PoP দ্বারা এখনও প্রয়োগ করা হয়।

  • লিগ্যাসি সিস্টেমগুলি TLS প্রোটোকল বা সিফার মিসম্যাচের কারণে ব্যর্থ হতে পারে। পুরানো TLS সংস্করণ বা দুর্বল সিফার স্যুট ব্যবহারকারী অ্যাপ্লিকেশন TLS পরিদর্শন নীতিতে সংজ্ঞায়িত প্রয়োজনীয়তা পূরণ নাও করতে পারে।

  • আধুনিক ওয়েবসাইটগুলি একাধিক নির্ভরশীল ডোমেইন এর কারণে সমস্যা তৈরি করতে পারে। শুধুমাত্র মূল ডোমেইন অনুমোদিত বা বাইপাস করা হলে যখন সমর্থন ডোমেইনগুলি ব্লক বা ভিন্নভাবে পরিদর্শিত হয়, তখন ব্যবহারকারীরা ধীর লোডিং বা অনুপস্থিত সামগ্রী লক্ষ্য করতে পারেন।

  • শেষ পর্যন্ত, প্ল্যাটফর্ম-নির্দিষ্ট আচরণ একটি ভূমিকা পালন করে। মোবাইল ডিভাইস, BYOD এন্ডপয়েন্ট এবং লিনাক্স সিস্টেমগুলি সার্টিফিকেট বিশ্বাস সীমাবদ্ধতা, অ্যাপ্লিকেশন-নির্দিষ্ট স্বীকৃতি, বা ডিফল্ট বাইপাস নিয়ম এর কারণে ভিন্নভাবে আচরণ করতে পারে।

প্রাথমিক সমস্যা সমাধান

TLS-সম্পর্কিত সমস্যাগুলি তদন্ত করার সময়, প্রাথমিক লক্ষ্য হল ক্লায়েন্ট, নেটওয়ার্ক (TLS পরিদর্শন), বা গন্তব্য সার্ভার থেকে সমস্যাগুলি উদ্ভূত হয়েছে কিনা তা নির্ধারণ করা।

1. পরিসর পৃথক করুন

ক্লায়েন্ট-নির্দিষ্ট সমস্যাগুলি যাচাই করে শুরু করুন। একই URL পরীক্ষা করুন:

  • একটি ভিন্ন ব্রাউজার থেকে
  • একই নেটওয়ার্কের অন্য ডিভাইস থেকে
  • একই ডিভাইস থেকে একটি ভিন্ন নেটওয়ার্কে (যেমন, হটস্পট)

যদি সমস্যা একটি নির্দিষ্ট ব্রাউজার বা ডিভাইসে সীমাবদ্ধ থাকে, সাধারণত এটি স্থানীয় বিশ্বাস বা কনফিগারেশন সমস্যা নির্দেশ করে। যদি নেটওয়ার্কের বাইরে কাজ করে, তাহলে সমস্যা সম্ভবত TLS পরিদর্শন বা নীতি প্রয়োগ-এর সাথে সম্পর্কিত।

2. TLS পরিদর্শন / সার্টিফিকেট জারিকারক যাচাই করুন

ব্রাউজার থেকে:

  • ডেভটুলস খুলুন → নিরাপত্তা ট্যাব বা লক আইকন ক্লিক করুন
  • সার্টিফিকেট চেইনের পরিদর্শন করুন

জারিকারক পরীক্ষা করুন:

  • প্রক্সি/এন্টারপ্রাইজ CA (যেমন, Cato) → TLS পরিদর্শন সক্রিয়
  • পাবলিক CA (যেমন, DigiCert, Let’s Encrypt) → সরাসরি TLS সেশন

3. ক্লায়েন্টে সার্টিফিকেট বিশ্বাস যাচাই করুন

  • সুনিশ্চিত করুন যে Cato রুট সার্টিফিকেট এন্ডপয়েন্টে সঠিকভাবে ইনস্টল করা আছে।

  • বিশ্বাস স্টোরে রুট সার্টিফিকেট আছে কিনা যাচাই করুন:
    • উইন্ডোজে, কম্পিউটার সার্টিফিকেট ম্যানেজার খুলুন এবং certlm.msc টাইপ করে বিশ্বাসযোগ্য রুট সার্টিফিকেশন অথরিটি এর অধীনে রুট সার্টিফিকেটের সন্ধান করুন
    • ম্যাক থেকে, কিচেইন অ্যাক্সেস খুলুন এবং সিস্টেম কিচেইন এর অধীনে রুট সার্টিফিকেট অনুসন্ধান করুন
  • সিস্টেমের সময় এবং তারিখ চেক করুন
  • যদি এন্ডপয়েন্টে Cato রুট সার্টিফিকেট অনুপস্থিত থাকে, তাহলে এটি ডাউনলোড এবং ইনস্টল করার জন্য ডিভাইসে Cato সার্টিফিকেট ইনস্টল করা দেখুন

  • অপবিলম্বিত TLS ব্যর্থতা কারণ বিশ্বাস কনফিগারেশন অনুপস্থিত বা ভুল।

4. ক্লায়েন্ট থেকে TLS হ্যান্ডশেক পরীক্ষা করুন

ক্লায়েন্ট-পার্শ্ব টুলগুলি ব্যবহার করে TLS সংযোগ অনুকরণ করুন এবং যেখানে এবং কেন হ্যান্ডশেক ব্যর্থ হয় তা সঠিকভাবে সনাক্ত করুন। এই টুলগুলি এমন ত্রুটি প্রকাশ করে যেগুলি প্রায়ই সাধারণ ব্রাউজার বার্তাগুলির পেছনে লুকানো থাকে।

প্রভাবিত এন্ডপয়েন্ট থেকে নিম্নলিখিত বা অনুরূপ চালান:

curl.exe -v https://<domain>

যদি OpenSSL উপলব্ধ থাকে:

openssl s_client -connect <domain>:443 -servername <domain>

প্রত্যাশিত আউটপুট (সফলতা)

* SSL সংযোগ TLS1.2 / TLS1.3 ব্যবহার করে
* সার্ভার সার্টিফিকেট:
* বিষয়: CN=www.google.com
* জারিকারক: CN=GTS CA 1C3
> GET / HTTP/1.1
< HTTP/1.1 200 OK

এটি প্রথমে নির্ধারণ করা গুরুত্বপূর্ণ যে সমস্যাটি ক্লায়েন্ট, গন্তব্য সার্ভার, বা TLS পরিদর্শন কনফিগারেশন নিজেই এর সাথে সম্পর্কিত কিনা। 

সাধারণ সমস্যার সমস্যা সমাধান

বিঃদ্রঃ:
নিচে তালিকাভুক্ত সমস্যাগুলি TLS পরিদর্শন ব্যয়স্থানের জন্য সাধারণ পরিস্থিতি প্রতিনিধিত্ব করে। অনেকগুলি ত্রুটি জেনেরিক এবং আপনার নির্দিষ্ট পরিবেশে সরাসরি প্রয়োগ নাও হতে পারে।
যদি বর্ণিত উপসর্গ বা সমাধানসমূহ আপনার পরিস্থিতির সাথে সামঞ্জস্যপূর্ণ না হয়, তবে এটি ক্লায়েন্ট মেশিন থেকে ডায়াগনস্টিক ডেটা (যেমন, SSS, HAR, এবং PCAP) সংগ্রহ করতে এবং গভীরতর বিশ্লেষণের জন্য সহায়তা টিকেট উত্থাপন করার সুপারিশ করা হয়।

ব্যর্থ অ্যাপ্লিকেশন সমস্যা সমাধান 

সমস্যা: নির্দিষ্ট অ্যাপ্লিকেশন TLS পরিদর্শন সক্রিয় হওয়ার পর নিরাপদ সংযোগ স্থাপন করতে ব্যর্থ হয় বা কাজ বন্ধ করে দেয়।

আচরণগত প্রত্যাশা:
কঠিন নিরাপত্তা নিয়ন্ত্রণযুক্ত অ্যাপ্লিকেশন (ব্যাংকিং অ্যাপস, এন্ডপয়েন্ট নিরাপত্তা টুলসএর মত) মানুষ-মধ্যস্থ (MITM) সার্টিফিকেট এর পরিচয় TLS পরিদর্শনের মাধ্যমে দ্রুত ছেচমেচ করবে, বাইপাস করবে বা মানত করবে। সমাধান:
TLS পরিদর্শনকে বাইপাস দিয়ে একটি শক্তভাবে একক ব্যবহারকারী বা উৎস IP যাচাই করুন, নীতির শীর্ষে একটি নিয়ম ব্যবহার করে।

যদি অ্যাপ্লিকেশন বাইপাস হলে কাজ করে, মুল্যবোধের উদ্দেশে লক্ষ্যমাত্রিত বর্জন তৈরি করুন (ডোমেইন/FQDN-ভিত্তিক) এবং বিস্তৃত নিয়মগুলি এড়িয়ে চলুন। এছাড়াও, Cato এর TLS পরিদর্শন কনফিগারেশন উইজার্ড লঘু কনফিগারেশন নিয়ে সংবেদনশীল ডোমেইন বাইপাস করতে ব্যবহার করা যেতে পারে। যদি অ্যাপ্লিকেশন বা সার্ভার সার্টিফিকেট পিনিং অথবা কঠিন TLS প্রয়োজনগত মানের জোর দিয়ে থাকে, TLS পরিদর্শন প্রয়োগ করা যায় না। 

এতে পরিস্থিতির মধ্যে সঠিক পদক্ষেপ হল সেই ট্রাফিককে স্থায়ীরূপে বাইপাস করা। উদাহরণ:
যদি একটি আর্থিক অ্যাপ লগ ইন করতে ব্যর্থ হয় এবং সেই ব্যবহারকারী জন্য TLS পরিদর্শন বাইপাস করার পর তা অবিলম্বে কাজ করে, তাহলে এটি অসম্পূর্ণতা নিশ্চিত করে - অ্যাপ ডোমেইনের অনুমতিতে যোগ করুন।

ব্রাউজার সার্টিফিকেট সতর্কতা সমস্যা সমাধান 

সমস্যা: ব্যবহারকারীরা সার্টিফিকেট সতর্কতা দেখতে পান বা TLS পরিদর্শন সক্রিয় করা পর অ্যাপ্লিকেশনগুলি ব্যর্থ হয়।

আচরণগত প্রত্যাশা:
ব্যবহারকারীরা ব্রাউজার সতর্কতা (যেমন, “সংযোগ নিরাপদ নয়”) দেখতে পারেন বা পুরোপুরি সংযোগ ব্যর্থ হয়।

আচরণ ডিভাইস জুড়ে ভিন্ন হতে পারে যদি Cato সার্টিফিকেট সঠিকভাবে ইনস্টল না হয়। সমাধান:
সুনিশ্চিত করুন যে সমস্ত এন্ডপয়েন্টে Cato TLS পরিদর্শন রুট সার্টিফিকেট ইনস্টল করা এবং বিশ্বাসযোগ্য।

GPO/MDM ব্যবহার করে পদক্ষেপ গ্রহণ করুন এবং ক্লায়েন্টে সম্পূর্ণ সার্টিফিকেট চেইন যাচাই করুন। যদি ব্যক্তিগত/অভ্যন্তরীণ সার্টিফিকেট ব্যবহৃত হয়, সুনিশ্চিত করুন যে সেগুলি বিশ্বাসযোগ্য বা সংশ্লিষ্ট TLS পরিদর্শন সার্টিফিকেট হ্যান্ডলিং পদ্ধতি অনুসরণ করে।

যদি আচরণে অস্বাভাতবোধ থাকে, TLS পরিদর্শনকে একক ব্যবহারকারী বা ডিভাইস বাইপাস করে সার্টিফিকেট সম্পর্কিত প্রভাব নিশ্চিত করুন।

যদি আপনার সংগঠনে ব্যক্তিগত সার্টিফিকেট ব্যবহার করা হয়, তাহলে TLS পরি�

হোস্টনেম মিসম্যাচ সমস্যা সমাধান 

সমস্যা: ব্যবহারকারীগণ সার্টিফিকেট ত্রুটি বা ব্লক করা সংযোগগুলি হোস্টনেম মিসম্যাচের কারণে পায় যখন তারা কিছু নির্দিষ্ট ওয়েবসাইটে অ্যাক্সেস করে, বিশেষ করে যখন TLS পরিদর্শন সক্রিয় থাকে।

আচরণগত প্রত্যাশা:
যখন একটি সার্ভার একটি সার্টিফিকেট প্রদান করে যার সাধারণ নাম (CN) বা SAN অনুরোধকৃত হোস্টনেমের সাথে মিলিয়ে যায় না, তখন সংযোগটিকে অবৈধ বলে গণ্য করা হয়।

TLS পরিদর্শন ছাড়াই, ব্রাউজার সরাসরি এই অমিল সনাক্ত করে এবং একটি সার্টিফিকেট সতর্কতা প্রদর্শন করে।

TLS পরিদর্শন সক্রিয় থাকলে, ব্রাউজার Cato PoP এর সাথে TLS সেশন স্থাপন করে মূল সার্ভারের স্থানে।

Cato রুট CA ব্যবহার করে PoP সার্টিফিকেট পুনরায় নিশ্চিত করে, যা ক্লায়েন্টের কাছে বৈধ মনে করতে। ফলে, ব্রাউজারে কোনও মিসম্যাচ প্রদর্শিত হয় না, যদিও ব্যাকেন্ডে সমস্যা এখনও বিদ্যমান। সমাধান:
একটি নির্দিষ্ট ব্যবহারকারী বা সূত্র IP জন্য TLS পরিদর্শন বাইপাস করে আচরণ যাচাই করুন।

যদি ব্রাউজার তখন কোন হোস্টনেম অমিল ত্রুটি প্রদর্শন করে, এটি নিশ্চিত করে যে সমস্যাটি গন্তব্য সার্ভার থেকে উদ্ভূত হয়। চূড়ান্ত শৃঙ্খলা সার্ভারের সার্টিফিকেট কনফিগারেশনের কারণে অমিল হয়, এটি TLS পরিদর্শন দ্বারা সংশোধিত করা যায় না।

উপযুক্ত পদক্ষেপ হল হয়: নির্দিষ্ট ডোমেইনের জন্য TLS পরিদর্শন বাইপাস করে অ্যাক্সেস অনুমতি দিন, অথবা

  • যদি অমিলটি একটি নিরাপত্তা ঝুঁকি হিসেবে গণ্য হয় তবে নীতি ভিত্তিক ট্রাফিক ব্লক করুন
  • প্রয়োজন হলে লক্ষ্য করা ডোমেইন/FQDN সম্পর্কিত বর্জনের সাথে বিস্তৃত বাইপাস নিয়ম এড়িয়ে চলুন।

উদাহরণ:
যখন আপনি https://www.testingmcafeesites.com/ অ্যাক্সেস করেন, সার্ভার platformsplat1.mcafee.com এর একটি সার্টিফিকেট প্রদান করে।

TLS পরিদর্শন ছাড়া, ব্রাউজার তাত্ক্ষণিকভাবে একটি হোস্টনেম অমিল প্রতিনিধিত্ব পায়।

TLS পরিদর্শন সক্রিয় থাকার সময়, ব্রাউজার একটি বৈধ সার্টিফিকেট Cato Root CA দ্বারা প্রদান করা হয়েছে দেখে www.testingmcafeesites.com, তাই কোনও ত্রুটি প্রদর্শিত হয় না।

তবে, Cato PoP পিছনের মধ্যে অমিল সনাক্ত করে এবং কনফিগার করা নীতি (ব্লক বা সতর্কতা) প্রয়োগ করে। ওয়েবসাইট বা অ্যাপ্লিকেশন লোডিং সমস্যার সমস্যা সমাধান

সমস্যা: TLS পরিদর্শন সক্রিয় থাকার সময় ওয়েবসাইটগুলি লোড হতে ব্যর্থ হয়, আংশিকভাবে রেন্ডার হয়, বা অনাপেক্ষিতভাবে আচরণ করে।

আচরণগত প্রত্যাশা:

পৃষ্ঠা হ্যাং করতে পারে, অসীমভাবে লোড হতে পারে, বা আংশিকভাবে রেন্ডার হতে পারে

  • লগইন/অথেনটিকেশন প্রবাহ ব্যর্থ বা লুপ করতে পারে
  • কিছু সাইট TLS ডিক্রিপশন/পুনরায় এনক্রিপশন ওভারহেডের কারণে ধীরে প্রদর্শিত হতে পারে
  • আচরণ অসম্ভাব্য হতে পারে (যেমন, একটি নেটওয়ার্কে কাজ করে, Cato এর মাধ্যমে ব্যর্থ হয়)
  • কঠিন নিরাপত্তা নিয়ন্ত্রণ বা জটিল TLS নির্ভরশীলতা ব্যবহার করে আধুনিক ওয়েব অ্যাপগুলির সাথে সাধারণত লক্ষ্য করা হয়।

এটি সাধারণত আধুনিক ওয়েব অ্যাপগুলির সাথে পর্যবেক্ষণ করা হয় যেগুলি কঠিন নিরাপত্তা নিয়ন্ত্রণ বা জটিল TLS নির্ভরশীলতা ব্যবহার করা হচ্ছে।

সমাধান:
নির্দিষ্ট ব্যবহারকারী বা উৎস IP এর জন্য TLS পরিদর্শন বাইপাস করে যাচাই করুন। যদি সাইটটি বাইপাস করার পর কাজ করে, একটি লক্ষ্যবস্তু ডোমেইন/FQDN অব্যাহতি তৈরি করুন।

বিস্তৃত বাইপাস নিয়ম এড়িয়ে চলুন — শুধুমাত্র প্রয়োজনীয় ডোমেইনগুলোকে পরিসর বহির্ভূত করুন।

যদি কোনো অ্যাপ্লিকেশন কঠোর সুরক্ষা পদ্ধতিগুলোর উপর নির্ভর করে (যেমন, পিন করা সার্টিফিকেট বা উন্নত TLS পরিচালনা), পরিদর্শনের সমর্থন নাও থাকতে পারে এবং বাইপাস সঠিক উপায়।

সিনারি — আধুনিক ওয়েব অ্যাপ্লিকেশন (SaaS):
কিছু SaaS প্ল্যাটফর্ম (যেমন, বহু ব্যাকএন্ড ডোমেইন/CDN সহ অ্যাপস) আংশিকভাবে লোড হতে পারে (UI কাজ করে, API ব্যর্থ)। এইসব ক্ষেত্রে, সমস্ত প্রয়োজনীয় ডোমেইন HAR/DevTools এর মাধ্যমে শনাক্ত করুন এবং বাইপাস নিয়মের মধ্যে সম্পূর্ণ কভারেজ নিশ্চিত করুন।

কাটো সার্টিফিকেট যাচাইকরণ ত্রুটি সমাধান

সমস্যা: ব্রাউজিং বা অ্যাপ্লিকেশন ব্যবহারের সময় কাটো TLS-সম্পর্কিত ত্রুটি প্রদর্শিত হয়।

আচরণগত প্রত্যাশা:

ব্যবহারকারীরা সাধারণ ত্রুটি যেমন অভিজ্ঞতা করতে পারেন: 

  • "নিরাপদ সংযোগ ব্যর্থ"
  • "সার্টিফিকেট বিশ্বাসযোগ্য নয়"
  • অপ্রত্যাশিত সংযোগ রিসেট বা ড্রপস

এই ত্রুটিগুলো সাধারণত অসামান্য এবং স্পষ্টভাবে নির্দেশ করে না যে সমস্যাটি ক্লায়েন্ট, সার্ভার বা TLS পরিদর্শন প্রক্রিয়া থেকে উদ্ভূত হয়েছে।

সমাধান:
ব্যবহারকারীদের একজন বা উৎস IP এর জন্য অস্থায়ীভাবে TLS পরিদর্শন বাইপাস করে আচরণ যাচাই করুন।

  • যদি বাইপাস করার পর সমস্যা সমাধান হয়, তাহলে এটি পরিদর্শন চলাকালীন একটি সার্টিফিকেট যাচাইকরণ ব্যর্থতা নিশ্চিত করে।
  • মধ্যবর্তী বা ইস্যিং CAগুলো স্বীকৃত না হলে, এটি কাটোর বিশ্বাসযোগ্য সার্টিফিকেট বান্ডেলের অন্তর্ভুক্ত না হলে এটি হতে পারে।

যেহেতু অস্থায়ী সমাধান, এজন্য প্রভাবিত ডোমেইন বা অ্যাপ্লিকেশন জন্য TLS পরিদর্শন বাইপাস করার সুপারিশ করা হয়, একটি সাপোর্ট কেস খোলার সময়।

কাটো বিশ্বাসযোগ্য সার্টিফিকেট বান্ডেল শিল্পমানের সাথে সামঞ্জস্যপূর্ণ এবং সাধারণত ব্যবহৃত সার্টিফিকেট কর্তৃপক্ষের সাথে সঙ্গতি রেখে অব্যাহতভাবে আপডেট করে। যদি সার্টিফিকেট বৈধ এবং বিশ্বস্ত হয়, তাহলে এটি ভবিষ্যতের আপডেটে অন্তর্ভুক্ত করা হতে পারে।

স্থায়ী সমাধান নিম্নোক্ত বিষয়ে ফোকাস করা উচিত:

  • সার্ভার যেন সম্পূর্ণ এবং বৈধ সার্টিফিকেট চেইন প্রদর্শন করে তা নিশ্চিত করা।
  • পরিচিত, বিশ্বাসযোগ্য CA দ্বারা প্রদত্ত সার্টিফিকেট ব্যবহার করা।

যদি সার্ভার একটি অমান্য বা অসম্পূর্ণ সার্টিফিকেট চেইন উপস্থাপন করে, তবে TLS পরিদর্শন সঠিকভাবে সংযোগ ব্লক করবে। সমাধান সার্ভার সাইডে পরিচালিত হওয়া উচিত, অথবা প্রয়োজনীয় হলে TLS পরিদর্শন বাইপাস।

নবঃ নির্ভরযোগ্য / সম্প্রতি প্রকাশিত ডোমেইন

যেসব ডোমেইন নতুনভাবে প্রকাশিত, সম্প্রতি আপডেট করা হয়েছে, বা ইন্টারনেটে পুনর্বিন্যাস করা হয়েছে, সেগুলো সমস্ত বিশ্বাসমান ইঞ্জিন, সার্টিফিকেট কর্তৃপক্ষ, বা ট্রাস্ট স্টোরে স্থায়ীভাবে স্বীকৃত হয় না।

এটি এমন পরিস্থিতির দিকে নিয়ে যেতে পারে যেখানে ট্রাফিক ব্লক করা হয় বা চিহ্নিত করা হয় — শুধুমাত্র TLS ব্যর্থতার কারণে নয়, তবে ইন্টারনেট ফায়ারওয়াল নীতি দ্বারা নিরাপত্তা প্রয়োগ বা অসম্পূর্ণ সার্টিফিকেট বিশ্বাসের ফলস্বরূপ।

আচরণগত প্রত্যাশা:
যেমন ডোমেইনগুলো হতে পারে:

  • সুরক্ষা ইঞ্জিনগুলোর মধ্যে ভুলভাবে শ্রেণীকৃত বা অনিয়মিতভাবে শ্রেণীবদ্ধ।
  • যেসব সার্টিফিকেট সম্পূর্ণভাবে প্রসারিত বা বিশ্বস্তভাবে গ্রহণযোগ্য নয় তাদের উপস্থাপন করুন।
  • অসম্পূর্ণ বিশ্বাস চেইনের কারণে পরিদর্শনের সময় TLS ত্রুটি প্রক্ষেপন করুন।
  • নীতির ভিত্তিতে ব্লকড হতে পারে, বরং প্রকৃত সংযোগ সমস্যা নয়।

এই আচরণ সাধারণত একটি ডোমেইন সক্রিয় হওয়ার পরে বা পরিবর্তনের পর ঘটে।

সমাধান:

  • এন্ডপয়েন্ট থেকে সরাসরি সার্টিফিকেট যাচাই করে বৈধতা নিশ্চিত করুন।
  • যদি ডোমেইনটি নিরাপদ হিসেবে যাচাই হয়:
    • নীতির প্রয়োজনীয়তার উপর ভিত্তি করে অনুমোদিত বিভাগের মধ্যে পুনর্বিন্যাস করুন, অথবা
    • লক্ষ্যবস্তু অনুমতি/বাইপাস নিয়ম তৈরি করুন (বিস্তৃত বাদ এড়িয়ে চলুন)
  • যেখানে সম্ভব বাইপাস নিয়মকে অস্থায়ী হিসেবে বিবেচনা করুন
  • একবার তার রেপুটেশন এবং সার্টিফিকেট বিশ্বাস বিশ্বব্যাপী সম্পূর্ণভাবে প্রতিষ্ঠিত হয়ে গেলে কিছু সময় পরে ডোমেইন পুনর্মূল্যায়ন করুন

মূল নোট:
এমনকি একটি ডোমেইন বৈধ হলেও, অসম্পূর্ণ সার্টিফিকেট প্রচার এখনও TLS-সম্পর্কিত ত্রুটি সৃষ্টি করতে পারে। এই সব ক্ষেত্রে, আচরণ প্রত্যাশিত এবং একটি ভুলসম্পন্ন কনফিগারেশন ধরা উচিত নয় বরং নিয়ন্ত্রিত নীতি সমন্বয় মাধ্যমে পরিচালনা করা উচিত।

সিনারি — অসম্পূর্ণ সার্টিফিকেট চেইন:
একটি সাইট ব্রাউজারে সরাসরি কাজ করতে পারে (ক্যাশড মধ্যস্বত্তার কারণে) কিন্তু TLS পরিদর্শনের নিচে ব্যর্থ। এটি নির্দেশ করে যে সার্ভার সম্পূর্ণ সার্টিফিকেট চেইন উপস্থাপন করছে না। সমাধানটি সার্ভার কনফিগারেশন সংশোধন করা বা ডোমেইন বাইপাস করা।

অসমর্থিত প্রোটোকল এবং লিগেসি সিস্টেম

সমস্যা:
অ্যাপ্লিকেশন বা সিস্টেমের জন্য সংযোগ ব্যর্থ, যেগুলো TLS পরিদর্শনের অধীনে অসমর্থিত পুরোনো TLS সংস্করণ বা দুর্বল সাইফার স্যুট ব্যবহার করে।

আচরণগত প্রত্যাশা:
ব্যর্থতা সাধারণত TLS হ্যান্ডশেক চলাকালীন ঘটে এবং ব্রাউজার বা ক্লায়েন্টে সরাসরি দৃশ্যমান।

সাধারণ ব্রাউজার ত্রুটিগুলো অন্তর্ভুক্ত করে:

  • ERR_SSL_PROTOCOL_ERROR
  • ERR_EMPTY_RESPONSE
  • ERR_SSL_VERSION_OR_CIPHER_MISMATCH
  • ERR_CONNECTION_CLOSED
  • 400 Bad Request
কোন SSL সার্টিফিকেট প্রয়োজনীয় ছিল না

কিছু ক্ষেত্রে:

  • পৃষ্ঠা সম্পূর্ণভাবে লোড হতে ব্যর্থ হতে পারে
  • সংযোগটি অবিলম্বে রিসেট হতে পারে
  • পুরু ক্লায়েন্ট বা লিগেসি অ্যাপ্লিকেশনগুলো নীরবে ব্যর্থ হতে পারে বা সাধারণ সংযোগ ত্রুটি প্রদর্শন করতে পারে

এটি ঘটে কারণ ক্লায়েন্ট বা সার্ভার কাটো PoP এর সাথে TLS সংস্করণ বা সাইফার স্যুটের সঙ্গে সমঝোতা করতে পারে না যা MITM হিসাবে কাজ করে।

ইভেন্টগুলোতে, আপনি TLS ত্রুটি বিবরণ ক্ষেত্র নির্দিষ্ট তথ্য সহ পূর্ণ আপনার ইভেন্টগুলোর মধ্যে লক্ষ্য করবেন। 

ত্রুটিগুলোতে আরও জানুন TLS ত্রুটি বোঝা 

সমাধান:

  • ব্যবহারকারী বা উৎস IP এর জন্য TLS পরিদর্শন বাইপাসে অস্থায়ীভাবে যাচাই করুন।
  • যদি অ্যাপ্লিকেশনটি বাইপাস করলে কাজ করে → পরিদর্শনের সময় TLS চুক্তি ভুলের নিশ্চিতকরণ।

এরপর, বাহ্যিক সরঞ্জামগুলোর ব্যবহার করে TLS সক্ষমতা যাচাই করুন https://www.ssllabs.com/ssltest/

ফলাফলগুলোর সাথে আপনার TLS পরিদর্শন নীতি তুলনা করুন:

  • ন্যূনতম অনুমোদিত TLS সংস্করণ
  • সাইফার স্যুট প্রয়োগের স্তর

যদি নিশ্চিত হয়:

  • আধুনিক TLS সংস্করণ এবং শক্তিশালী সাইফার স্যুটকে সমর্থন করার জন্য অ্যাপ্লিকেশন বা সার্ভার আপডেট বা আপগ্রেড করুন।
  • যদি আপগ্রেড করা সম্ভব না হয়, প্রভাবিত অ্যাপ্লিকেশন বা ডোমেইনের জন্য লক্ষ্যবস্তু TLS পরিদর্শন বাইপাস কনফিগার করুন।

নোট:
ডিফল্টভাবে, কাটো TLS সংস্করণ এবং সাইফার স্যুটের বিস্তৃত পরিসরকে অনুমোদন করে। তবে, প্রশাসকরা TLS পরিদর্শন নীতিতে কঠোর নিয়ন্ত্রণ প্রয়োগ করতে পারেন (যেমন, ন্যূনতম TLS সংস্করণ বা সাইফার শক্তি), যা লিগেসি অ্যাপ্লিকেশনগুলোর ব্যর্থতার কারণ হতে পারে। আরও তথ্য পড়ুন এখানে

 

সিনারি — লিগেসি অভ্যন্তরীণ অ্যাপ্লিকেশন:
কাটো দ্বারা রুট করার সময় অ্যান্ড TLS পরিদর্শন সক্রিয়তা সহ একটি অভ্যন্তরীণ বা তৃতীয় পক্ষের লিগেসি অ্যাপ্লিকেশন ব্যর্থ হতে পারে কিন্তু বাইপাস করলে কাজ করে। এই সাধারণত বাতিল করা TLS সংস্করণের নির্ভরতা নির্দেশ করে, অ্যাপ্লিকেশন আপগ্রেড বা স্থায়ী বাইপাস প্রয়োজন।

OS-স্পেসিফিক TLS সমস্যার ট্রাবলশুটিং (প্রত্যাশিত সীমাবদ্ধতা)

সমস্যা: সংযোগ সমস্যা, অসামঞ্জস্য আচরণ, অথবা TLS পরিদর্শন দৃশ্যমানতার অভাব নির্দিষ্ট অপারেটিং সিস্টেম এবং ডিভাইস ধরণে (যেমন, মোবাইল, BYOD, লিনাক্স)।

আচরণগত প্রত্যাশা:

আচরণ অপারেটিং সিস্টেম এবং অ্যাপ্লিকেশনের ডিজাইনের উপর নির্ভর করে উল্লেখযোগ্যভাবে পরিবর্তিত হয়।

অ্যান্ড্রয়েড এবং লিনাক্স ডিভাইসে TLS পরিদর্শন ডিফল্টভাবে বাইপাস করা হয় কারণ সার্টিফিকেট বিশ্বাস সীমাবদ্ধতা এবং অ্যাপ্লিকেশন আচরণের জন্য। তবে, CMA এর উন্নত সেটিংসের মাধ্যমে নতুন কনফিগারেশন প্রশাসকদের এই প্ল্যাটফর্মগুলোতে TLS পরিদর্শন enforced করতে অনুমতি দেয় যাতে সার্টিফিকেট বিশ্বাস সঠিকভাবে প্রতিষ্ঠিত হতে পারে।

iOS ডিভাইসে, TLS পরিদর্শন সমর্থিত, কিন্তু কিছু অ্যাপ্লিকেশন (যেমন, সোশ্যাল মিডিয়া প্ল্যাটফর্ম যেমন Instagram, Facebook, এবং অন্যান্য সমতুল্য অ্যাপস) ডিফল্টভাবে বাইপাস করা হয় সার্টিফিকেট পিনিং এবং পরিচিত অসামান্যতার কারণে। অন্যান্য অ্যাপ্লিকেশনগুলো যা কঠোর যাচাইকরণ enforced করে ব্যর্থ হতে পারে এবং ম্যানুয়াল বাইপাস কনফিগারেশন প্রয়োজন হতে পারে।

সাধারণত:

  • কাটো সার্টিফিকেট ইনস্টল করার পরে ব্রাউজারগুলি প্রত্যাশিতভাবে কাজ করতে পারে
  • সার্টিফিকেট পিনিং বা সীমিত বিশ্বাস স্টোরের কারণে নেটিভ/মোবাইল অ্যাপ্লিকেশন অবিলম্বে ব্যর্থ হতে পারে
  • একই ডিভাইসে এমনকি প্রতিটি অ্যাপ্লিকেশনে আচরণ বিভিন্ন হতে পারে

সমাধান:

এই আচরণ সাধারণত প্রত্যাশিত এবং প্ল্যাটফর্ম চালিত হয়, কনফিগারেশন ভুলের আইডেন্টিক নয়।

  • পরিচালিত ডিভাইসে যেখানে সার্টিফিকেট স্থাপন নিয়ন্ত্রণিত হয় সেখানে TLS পরিদর্শন প্রয়োগ করুন
  • MDM সমাধান ব্যবহার করুন কাটো সার্টিফিকেট সিস্টেম স্তরে ইনস্টল করতে (যেখানে সমর্থিত)
  • পরিচিত অ্যাপ্লিকেশন এবং প্ল্যাটফর্মগুলোর জন্য ডিফল্ট বাইপাস নিয়ম সম্পর্কে সচেতন থাকুন
  • যেসব অ্যাপ্লিকেশন সার্টिफিকেট পিনিং বা কঠোর যাচাইকরণের কারণে ব্যর্থ হয়, তাদের জন্য লক্ষ্যবস্তু TLS পরিদর্শন বাইপাস কনফিগার করুন
  • অ্যান্ড্রয়েড বা লিনাক্সের মতো প্ল্যাটফর্মে TLS পরিদর্শন enforced করার সময়, ব্যাপক রোলআউটের আগে সঙ্গতি সাবধানে যাচাই করুন

সিনারি — মোবাইল অ্যাপ্লিকেশন ব্যর্থতা:
একটি মোবাইল অ্যাপ (যেমন, ব্যাঙ্কিং বা সুরক্ষা অ্যাপ) কাটোর মাধ্যমে সংযুক্ত হতে ব্যর্থ হয় যখন ব্রাউজার কাজ করে। অ্যাপটি সার্টিফিকেট পিনিং enforced করে এবং কাটো সার্টিফিকেটকে বিশ্বাস করে না। এটি প্রত্যাশিত — সঠিক কার্যকলাপ অ্যাপ্লিকেশন বা সেবার জন্য TLS পরিদর্শন বাইপাস।

কাটো সাপোর্টে কেস উত্থাপন করা

যদি কোনও অ্যাপ্লিকেশনের জন্য TLS পরিদর্শন বাধ্যতামূলক হয় বিধিমালা বা নিয়ন্ত্রণমূলক কারণের জন্য অথবা আপনি বিশ্বাস করেন যে TLS ব্লক অপ্রত্যাশিত, দয়া করে উপরের সমস্যা সমাধানে অধিকার লিখন করে একটি সাপোর্ট টিকেট জমা দিন। দয়া করে টিকেটে নিম্নলিখিত তথ্য অন্তর্ভুক্ত করুন:

  • অভিজ্ঞ সমস্যার বিস্তারিত এবং ব্যবহারকারীদের উপর সামগ্রিক প্রভাব। ব্যবহারকারী experiencing সমস্যার টাইমস্ট্যাম্প/সময় অঞ্চল। 
  • সম্পর্কিত ইভেন্ট এবং ফায়ারওয়াল/TLS নিয়ম কনফিগারেশন।
  • সমস্যাটি পুনরায় উৎপন্ন করুন এবং সাপোর্ট স্ব-সেবা চালান। টুল দ্বারা উত্পন্ন টিকেট নম্বর অন্তর্ভুক্ত করুন।

 

এই নিবন্ধটি কি সহায়ক ছিল?

0 জনের মধ্যে 0 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য