Defaults.Exposed › সমাধান › আধুনিক এনক্রিপশন (TLS সংস্করণ এবং সাইফার)
আধুনিক এনক্রিপশন (TLS সংস্করণ এবং সাইফার) ঠিক করার উপায়
TLS হলো সেই লক যা আপনার দর্শনার্থী এবং আপনার ওয়েবসাইটের মধ্যে প্রবাহিত ডেটা স্ক্র্যাম্বল করে। দুটি জিনিস সেই লককে বিশ্বস্ত করে তোলে: TLS-এর একটি আধুনিক সংস্করণ ব্যবহার করা (পুরানো, ভাঙা সংস্করণ নয়), এবং শক্তিশালী সাইফার ব্যবহার করা (আসল স্ক্র্যাম্বলিং রেসিপি)। এই পৃষ্ঠা উভয় কভার করে — এছাড়াও কিছু সংশ্লিষ্ট সেটিংস যা আপনার গ্রেড প্রভাবিত করে না কিন্তু জানার যোগ্য।
আপনার ব্যবসার জন্য মূল বিষয়: আপনার সাইট পুরানো এনক্রিপশন বা দুর্বল সাইফারে চললে, আপনার গ্রাহকরা টাইপ করা ব্যক্তিগত বিবরণ — লগইন, কার্ড নম্বর, যোগাযোগ তথ্য — শেয়ার করা নেটওয়ার্কে চুপচাপ বাধাগ্রস্ত এবং পড়া যেতে পারে, এবং আপনি এমন নিরাপত্তা চেক ব্যর্থ করতে পারেন যা ব্যাংক, পেমেন্ট প্রসেসর এবং বড় ক্লায়েন্টরা এখন আপনার সাথে ব্যবসা করার আগে প্রয়োজন।
এটি আপনার কতটা খরচ করতে পারে
- একজন গ্রাহক হোটেল বা ক্যাফে Wi-Fi-এ পেমেন্ট করেন বা সাইন ইন করেন, একটি পুরানো সংযোগ বা দুর্বল সাইফার সেই নেটওয়ার্কে একজন অপরিচিতকে তাদের কার্ড এবং পাসওয়ার্ড বাস্তব সময়ে পড়তে দেয়, এবং জালিয়াতি সরাসরি আপনার সাইটে ফিরে ট্রেস করে।
- আপনি কার্ড পেমেন্ট নেওয়ার আবেদন করেন (বা আপনার পেমেন্ট প্রদানকারী আপনাকে পুনরায় অডিট করে) এবং পুরানো TLS বা নিষিদ্ধ সাইফার পেমেন্ট-নিরাপত্তা নিয়ম ভঙ্গ করার কারণে প্রত্যাখ্যাত হন।
- একটি বড় ক্লায়েন্টের IT দল স্বাক্ষর করার আগে একটি রুটিন নিরাপত্তা স্ক্যান চালায়, দেখে আপনার সাইট এখনও ভাঙা এনক্রিপশন অনুমতি দেয়, এবং আপনাকে ঝুঁকি হিসেবে ফ্লাগ করে।
- একটি ডেটা-সুরক্ষা অভিযোগ বা লঙ্ঘন আপনার ডেস্কে পৌঁছায় এবং নিয়ন্ত্রকরা যে প্রথম প্রশ্ন করে তা হলো আপনি গ্রাহকের ডেটা 'যথাযথভাবে' রক্ষা করেছেন কিনা।
- আপনার সাইটে একটি প্যাডলক দেখায়, তাই সবাই ধরে নেয় এটি সম্পূর্ণ নিরাপদ, এবং এই ফাঁক বছরের পর বছর অলক্ষ্যে থাকে।
কেন এটি গুরুত্বপূর্ণ। নিরাপদ এনক্রিপশন অদৃশ্য; পুরানো বা দুর্বল এনক্রিপশন একটি দায় যা চুপচাপ বসে থাকে যতদিন না এটি আপনার একটি গ্রাহক, একটি চুক্তি বা একটি সম্মতি পাস খরচ করে। TLS সংস্করণ এবং সাইফার চেক হলো দুটি অংশ যা আসলে আপনার গ্রেড চলায়, এবং উভয়ই সাধারণত একটি একক বিনামূল্যের সেটিং।
সহজ ভাষায়
যখন কেউ আপনার ওয়েবসাইট পরিদর্শন করে, তারা যা টাইপ করে — লগইন, কার্ড নম্বর, নাম, ফোন নম্বর, বার্তা — ট্রানজিটে স্ক্র্যাম্বল করা হয় যাতে অপরিচিতরা পড়তে না পারে। স্ক্র্যাম্বলিং করার প্রযুক্তিকে TLS বলা হয়। সেই স্ক্র্যাম্বলিং আসলে নিরাপদ হতে দুটি জিনিস সঠিক হতে হবে:
- TLS সংস্করণ — আপনি প্রযুক্তির কোন প্রজন্ম ব্যবহার করছেন। প্রাথমিক সংস্করণগুলি (TLS 1.0 এবং 1.1) বছরের পর বছর ধরে সর্বজনীনভাবে ভাঙা; নিরাপদগুলি হলো TLS 1.2 এবং TLS 1.3।
- সাইফার — TLS স্ক্র্যাম্বলিং করতে ব্যবহার করে নির্দিষ্ট রেসিপি। কিছু সাইফার (যেমন RC4, DES এবং 3DES) ক্র্যাক করা হয়েছে এবং এখন নিষিদ্ধ।
এটি আপনার কী খরচ করতে পারে
- একজন গ্রাহক পাবলিক Wi-Fi-এ চুরি হন। কেউ হোটেল, ক্যাফে বা বিমানবন্দর থেকে সাইন ইন করেন বা পেমেন্ট করেন। কারণ আপনার সাইট এখনও একটি পুরানো TLS সংস্করণ বা একটি দুর্বল সাইফার অনুমতি দেয়, সেই একই নেটওয়ার্কে একজন অপরিচিত সংযোগকে ভাঙা বিকল্পে ডাউনগ্রেড করতে বাধ্য করেন।
- আপনার কার্ড পেমেন্ট বন্ধ হয়ে যায়। পেমেন্ট-নিরাপত্তা নিয়ম (PCI DSS) ন্যূনতম TLS 1.2 প্রয়োজন এবং স্পষ্টভাবে RC4-এর মতো দুর্বল সাইফার নিষিদ্ধ করে।
- একটি চুক্তি নিরাপত্তা পর্যালোচনায় থামে।
- একটি নিয়ন্ত্রক বিশ্রী প্রশ্ন করেন।
- এটি বছরের পর বছর প্যাডলকের পেছনে লুকিয়ে থাকে।
এটি আসলে কী
TLS সংস্করণ
একটি সাইট শুধুমাত্র একটি সংস্করণ সমর্থন করে না — এটি একবারে বেশ কয়েকটি অফার করতে পারে। বিপদ হলো পুরানো, ভাঙা সংস্করণগুলি ভালোগুলির পাশাপাশি খোলা পিছনের দরজা হিসেবে বসে থাকতে পারে।
ভালো দেখতে কেমন:
- TLS 1.3 (1.2 সহ বা ছাড়া), এবং কোনো উত্তরাধিকার নেই: সর্বোত্তম ফলাফল। পূর্ণ নম্বর।
- শুধুমাত্র TLS 1.2, কোনো 1.3 নেই: নিরাপদ এবং পাস, কিন্তু নতুনতম, দ্রুততম সংস্করণ টেবিলে রেখে যাচ্ছেন।
- TLS 1.0 বা 1.1 এখনও গৃহীত: স্বয়ংক্রিয় ব্যর্থতা, শূন্য স্কোর এবং সমালোচনামূলক হিসেবে ফ্লাগড।
সাইফার
একবার একটি সংস্করণ বেছে নেওয়া হলে, TLS একটি সাইফার বেছে নেয় — আসল অ্যালগরিদম যা ডেটা স্ক্র্যাম্বল করে। ভাঙা এবং ব্যবহার করা উচিত নয়: RC4, DES, 3DES, NULL, EXPORT-গ্রেড সাইফার, এবং বেনামী সাইফার।
তিনটি তথ্যমূলক অতিরিক্ত
তিনটি সংশ্লিষ্ট আইটেম রিপোর্ট করা হয় কিন্তু আপনার গ্রেড প্রভাবিত করে না — TLS কম্প্রেশন (CRIME আক্রমণ), OCSP স্ট্যাপলিং, এবং নিরাপদ পুনরায় আলোচনা।
কীভাবে ঠিক করবেন (বিনামূল্যে, ~৩০ মিনিট)
আপনার IT ব্যক্তিকে এটি দিন — ঠিক করা বিনামূল্যে।
সবচেয়ে সহজ নির্ভরযোগ্য পদ্ধতি হলো Mozilla-র SSL Configuration Generator https://ssl-config.mozilla.org/ থেকে একটি পরিচিত-ভালো কনফিগ তৈরি করা।
প্ল্যাটফর্ম অনুসারে:
- Cloudflare বা একটি পরিচালিত হোস্ট — সাধারণত এক বা দুটি ক্লিক।
- Nginx:
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; ssl_prefer_server_ciphers on; - Apache:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384 SSLHonorCipherOrder on - Windows / IIS। বিনামূল্যে IIS Crypto টুল ব্যবহার করুন।
- তথ্যমূলক অতিরিক্ত (ঐচ্ছিক, বিনামূল্যে)।
- যাচাই করুন, তারপর এখানে পুনরায় পরীক্ষা করুন।
সাধারণ ভুল
- “আমাদের প্যাডলক আছে, তাই আমরা ঠিক আছি।”
- সংস্করণ ঠিক করা কিন্তু সাইফার নয় (বা বিপরীত)।
- “উত্তরাধিকার” বা “পুরানো-ব্রাউজার সামঞ্জস্যতা” টগল চালু রাখা।
- আসলে সার্ভার পুনরায় লোড/পুনরায় চালু করতে ভুলে যাওয়া।
- একটি সার্ভার কনফিগার করা কিন্তু সবগুলো নয়।
মনে রাখার বিষয়
TLS সংস্করণ এবং সাইফার হলো আপনার এনক্রিপশনের দুটি অংশ যা আসলে আপনার গ্রেড চলায়, এবং উভয়ই বছরের পর বছর ধরে সর্বজনীনভাবে ভাঙা বিকল্পগুলি বন্ধ করার মধ্যে আসে। ঠিক করা বিনামূল্যে, এটি সাধারণত প্রতি সার্ভারে একটি আধুনিক কনফিগারেশন লাইন, এবং একজন সাধারণ দর্শনার্থীর কাছে এটি তাদের সংযোগকে সত্যিই নিরাপদ করা ছাড়া কিছু পরিবর্তন করে না।
FAQ
আমি প্রযুক্তিগত নই — আমি কি এটি নিজে সামলাতে পারি?
আপনাকে প্রযুক্তিগত বিবরণ বুঝতে হবে না। বেশিরভাগ আধুনিক হোস্টিংয়ে এটি এক বা দুটি সেটিংস, এবং এটি বিনামূল্যে। আপনার ওয়েবসাইট বা হোস্টিং পরিচালনাকারীকে (বা আপনার IT প্রদানকারীকে) নিচের 'কীভাবে ঠিক করবেন' বিভাগটি হস্তান্তর করুন।
আধুনিক এনক্রিপশনে স্যুইচ করা কি পুরানো গ্রাহকদের ব্রাউজার থেকে কাজ করা বন্ধ করবে?
বাস্তবে, না। গত দশকের প্রতিটি আধুনিক ব্রাউজার এবং ফোন ইতিমধ্যে নতুন এনক্রিপশন এবং শক্তিশালী সাইফার ডিফল্টরূপে ব্যবহার করে।
আমার সাইট একটি প্যাডলক সহ লোড হয় — কেন এটি এখনও ফ্লাগিং?
প্যাডলক শুধুমাত্র একটি নিরাপদ সংযোগ বিদ্যমান মানে; এটি আপনাকে বলে না TLS-এর কোন সংস্করণ বা কোন সাইফার এর পেছনে। আপনার সাইট একটি পুরোপুরি স্বাভাবিক প্যাডলক দেখাতে পারে যখন চুপচাপ একটি পুরানো ভাঙা সংস্করণ বা নিষিদ্ধ সাইফার ভালো সংস্করণের পাশাপাশি গ্রহণ করছে।
TLS সংস্করণ এবং সাইফারের মধ্যে পার্থক্য কী?
TLS সংস্করণকে আপনি যে লক প্রজন্ম ব্যবহার করছেন তা হিসেবে ভাবুন, এবং সাইফারকে এটি ডেটা স্ক্র্যাম্বল করতে ব্যবহার করে নির্দিষ্ট রেসিপি হিসেবে। উভয়কে সঠিক হতে হবে।
OCSP স্ট্যাপলিং এবং TLS কম্প্রেশন সম্পর্কে কী — সেগুলি কি আমার গ্রেড প্রভাবিত করে?
না। সেগুলি (নিরাপদ পুনরায় আলোচনা সহ) শুধুমাত্র তথ্যমূলক — আমরা এগুলি রিপোর্ট করি কারণ সেগুলি পারফরম্যান্স এবং গভীরতার প্রতিরক্ষার জন্য গুরুত্বপূর্ণ, কিন্তু সেগুলি আপনার স্কোর চলায় না।
এটি ঠিক করা কি সত্যিই বিনামূল্যে?
হ্যাঁ। পুরানো TLS সংস্করণ এবং দুর্বল সাইফার অক্ষম করা, এবং এই সুরক্ষাগুলি সক্ষম করা, আপনার বিদ্যমান সার্ভার বা হোস্টিংয়ে কনফিগারেশন পরিবর্তন।