ওভি কোড সাইনিং সার্টিফিকেট সফটওয়্যার ডেভেলপারদের যেমন এসএসএল সার্টিফিকেট একটি ওয়েবসাইটে হয়। তাদের ছাড়া, প্রকাশক অজানা থেকে যায়, যখন কোডটি সাইবার আক্রমণের জন্য অত্যন্ত সংবেদনশীল। যে কোনও পিকেআই পণ্যের মতো, কোড স্বাক্ষর কীগুলি সুরক্ষিত করা অপরিহার্য। তবে নিয়মিত এসএসএল শংসাপত্রের মতোই, কখনও কখনও কীগুলি ভুল হাতে পড়ে এবং সমস্ত ধরণের ঝামেলা নিয়ে আসে।
শুধু এনভিডিয়াকে জিজ্ঞাসা করুন, বিখ্যাত প্রযুক্তি সংস্থা যা সম্প্রতি তার ওভি কোড স্বাক্ষরকারী শংসাপত্রগুলির একটি নয় বরং দুটি চুরি হতে দেখেছে. কুখ্যাত ল্যাপসাস $ গ্রুপের হ্যাকাররা তাদের ক্ষতিকারক সফ্টওয়্যারটিতে স্বাক্ষর করতে আপোস করা শংসাপত্রগুলি ব্যবহার করেছিল এবং এটি এমন দেখায় যে এটি এনভিডিয়া থেকেই এসেছে।
যদিও এই মাত্রার হামলা অস্বাভাবিক, তবে তাদের নিরাপত্তা এবং খ্যাতির ক্ষতি উল্লেখযোগ্য হতে পারে। এই সর্বশেষ লঙ্ঘন থেকে শেখা পাঠটি সহজ: আপনার সার্ভারে কোড-স্বাক্ষরকারী শংসাপত্র এবং কীগুলি সংরক্ষণ করবেন না!
সিএ / ব্রাউজার ফোরাম দ্রুত প্রতিক্রিয়া জানায় এবং 15 নভেম্বর থেকে শুরু হওয়া বিশেষ শারীরিক সুরক্ষা হার্ডওয়্যার ডিভাইসগুলিতে তাদের ইস্যু করার জন্য ভোটের মাধ্যমে কোড স্বাক্ষর শংসাপত্র জারি এবং ইনস্টলেশন সংশোধন করে।
কোড স্বাক্ষর পরিবর্তন – সংক্ষিপ্ত বিবরণ
পরিবর্তনটি নিজেই যুগান্তকারী নয় কারণ সিএগুলি ইতিমধ্যে ইউএসবি ডিভাইস বা হার্ডওয়্যার সুরক্ষা মডিউল (এইচএসএম) গ্রাহকদের কাছে বর্ধিত বৈধতা কোড স্বাক্ষর শংসাপত্র সরবরাহ করে। শীঘ্রই, একই পদ্ধতি প্রতিষ্ঠানের বৈধতা এবং স্বতন্ত্র বৈধতা কোড স্বাক্ষর শংসাপত্রের ক্ষেত্রে প্রযোজ্য হবে।
প্রযুক্তিগতভাবে বলতে গেলে, সুরক্ষিত হার্ডওয়্যারটিতে এফআইপিএস (ফেডারেল ইনফরমেশন প্রসেসিং স্ট্যান্ডার্ডস) অনুবর্তী ডিভাইস যেমন এফআইপিএস 140-2 লেভেল 2, কমন ক্রাইটেরিয়া ইএএল 4+, বা সাইন ইন সলিউশন (ন্যূনতম হিসাবে) অন্তর্ভুক্ত থাকবে যেমন:
- হার্ডওয়্যার নিরাপত্তা মডিউল (এইচএসএম), (ক্লাউড বা শারীরিক ডিভাইস)
- নিরাপত্তা টোকেন যেমন শারীরিক USB হার্ডওয়্যার সরঞ্জাম
- মূল সঞ্চয়স্থান এবং স্বাক্ষর পরিষেবাদি
অনুশীলনে, আপনাকে আর সার্টিফিকেট স্বাক্ষর করার অনুরোধ তৈরি করতে হবে না কারণ সিএ সমস্ত প্রযুক্তিগত দিকের যত্ন নেবে।
কোড সাইনিং ওভারহলের পেছনের কারণ
বেশিরভাগ সিএ / ব্রাউজার ফোরাম পরিবর্তন এবং উন্নতিগুলি উদীয়মান সুরক্ষা সমস্যাগুলি দ্বারা চালিত হয় যা আর উপেক্ষা করা যায় না। এই বিশেষ একটিও তার ব্যতিক্রম নয়। কয়েকটি হাই-প্রোফাইল পরাজয়ের পরে, সিএ / বি ফোরাম কোড স্বাক্ষরকারী সুরক্ষা মানগুলির রূপরেখা দিয়েছে কোড স্বাক্ষর (সংস্করণ 2.8) জারি এবং পরিচালনার জন্য বেসলাইন প্রয়োজনীয়তা (বিআর), ব্যালট সিএসসি -13 এর মাধ্যমে আপডেট করা হয়েছে – গ্রাহক কী সুরক্ষা প্রয়োজনীয়তা আপডেট।
ফলস্বরূপ, বৈধতা পদ্ধতি নির্বিশেষে সমস্ত কোড স্বাক্ষর শংসাপত্রগুলি সুরক্ষিত হার্ডওয়্যার ডিভাইসে প্রেরণ করা হবে। এবং, যেহেতু সিএগুলি ইতিমধ্যে ইভি কোড স্বাক্ষর শংসাপত্র সরবরাহ করতে শারীরিক সরঞ্জাম ব্যবহার করে, তাই পরিবর্তনগুলি মসৃণ এবং সোজা হওয়া উচিত।
আসন্ন পরিবর্তনগুলি বিভাগ 16.3.1 সাবস্ক্রাইবার ব্যক্তিগত কী সুরক্ষা কোড স্বাক্ষর শংসাপত্র বিআর (সংস্করণ 2.8) এ নিশ্চিত করা হয়েছে। এখানে যা বলা হয়েছে:
“সিএকে অবশ্যই গ্রাহকের কাছ থেকে একটি চুক্তিভিত্তিক উপস্থাপনা পেতে হবে যে গ্রাহক কমপক্ষে এফআইপিএস 140-2 লেভেল 2 বা সাধারণ মানদণ্ড ইএএল 4+ এর সাথে সামঞ্জস্যপূর্ণ হিসাবে প্রত্যয়িত একটি ইউনিট ডিজাইন ফর্ম ফ্যাক্টর সহ একটি হার্ডওয়্যার ক্রিপ্টো মডিউলে তাদের কোড সাইনিং সার্টিফিকেট প্রাইভেট কীগুলি তৈরি এবং সুরক্ষিত করার জন্য নিম্নলিখিত বিকল্পগুলির মধ্যে একটি ব্যবহার করবে।
আমার কীভাবে প্রস্তুতি নেওয়া উচিত?
সরকারীভাবে, সমন্বয়টি মঙ্গলবার, 15 নভেম্বর, 2022, 12 টায় ঘটবে। a.m Coordinated Universal Time (UTC)। আপনি একটি ব্যবহার করতে পারেন টাইমজোন কনভার্টার আপনার স্থানীয় সময় নির্ধারণ করুন। তবে, প্রায়শই যেমনটি হয়, সেক্টিগো এবং ডিজিসার্টের মতো কিছু সিএ অফিসিয়াল সময়সীমার আগে কোনও সম্ভাব্য সমস্যা সমাধানের জন্য সময়সূচীর আগে পরিবর্তনগুলি শুরু করতে পারে। এখনও অবধি, আমরা এই বিষয়ে সিএগুলির কাছ থেকে কোনও আপডেট পাইনি, তাই আমরা আপনাকে আপডেট রাখব।
নতুন প্রয়োজনীয়তাগুলি নভেম্বরের টার্গেট তারিখের পরে যে কেউ ওভি বা চতুর্থ কোড স্বাক্ষর শংসাপত্র কিনবে তাকে প্রভাবিত করবে। যদি আপনার শংসাপত্রের সময়সীমার পরে মেয়াদ শেষ হয়ে যায় তবে আপনাকে নতুন নিয়ম অনুসরণ করে এটি পুনরায় ইস্যু করতে হবে।
১৫ নভেম্বরের আগে জারি করা বিদ্যমান কোড স্বাক্ষরকারী শংসাপত্রগুলি উদ্দেশ্য হিসাবে কাজ করবে। আপনি বরাবরের মতো আপনার সফ্টওয়্যারে সাইন ইন করা চালিয়ে যেতে পারেন। পরিবর্তনগুলি সংঘটিত হওয়ার পরে, কোড স্বাক্ষরকারী আবেদনকারীদের নিশ্চিত করতে হবে যে তারা নিম্নলিখিত বিকল্পগুলির মধ্যে একটিতে তাদের কীগুলি সংরক্ষণ করবে:
- একটি এইচএসএম বা ইউএসবি নিরাপত্তা টোকেন
- একটি ক্লাউড-ভিত্তিক কী জেনারেশন এবং সুরক্ষা সমাধান
- একটি স্বাক্ষর পরিষেবা যা সিএ / বি ফোরাম বেসলাইন প্রয়োজনীয়তায় বর্ণিত প্রয়োজনীয়তাগুলি পূরণ করে
চূড়ান্ত চিন্তাভাবনা
নভেম্বর রোলআউটের পরে কোড স্বাক্ষর শংসাপত্র দেওয়ার জন্য সিএগুলি এখনও সমস্ত বিবরণ প্রকাশ করতে পারেনি। আমরা ইভি কোড স্বাক্ষর শংসাপত্রগুলি কীভাবে প্রাপ্ত হয় তার অনুরূপ একটি সুবিন্যস্ত ক্রয় প্রক্রিয়া আশা করি। সিএগুলি আপনার ব্যক্তিগত কীটির জন্য সুরক্ষা টোকেনও সরবরাহ করবে, তবে এটি যদি সমস্ত সম্মতির প্রয়োজনীয়তা পূরণ করে তবে আপনার নিজের ব্যবহার করার বিকল্পও থাকবে।
সিস্টেম অ্যাডমিনিস্ট্রেটর ভেক্টর ম্যাক্রোভেক্টর দ্বারা তৈরি – www.freepik.com
আজ অর্ডার করার সময় SSL শংসাপত্রে 10% সংরক্ষণ করুন!
দ্রুত ইস্যু, শক্তিশালী এনক্রিপশন, 99.99% ব্রাউজার বিশ্বাস, নিবেদিত সমর্থন, এবং 25 দিনের অর্থ ফেরত গ্যারান্টি। কুপন কোড: SAVE10