দুটি স্বতন্ত্র ক্লায়েন্ট Android ব্যবহারকারীদের প্রভাবিত করে SSL ব্যর্থতার রিপোর্ট করেছে, যদিও তাদের সার্টিফিকেটগুলি বৈধ এবং সঠিকভাবে ইনস্টল করা ছিল। ডেস্কটপ ব্রাউজারগুলি কোনো ত্রুটি দেখায়নি, যখন নির্দিষ্ট মোবাইল ডিভাইসগুলি সংযোগগুলিকে অবিশ্বস্ত হিসাবে প্রত্যাখ্যান করেছে।
কেস স্টাডি সারসংক্ষেপ
- সমস্যা: নতুন CA চেইনগুলি পুরাতন Android ডিভাইসগুলির দ্বারা বিশ্বস্ত ছিল না।
- প্রভাব: মোবাইল ব্যবহারকারীরা বৈধ সার্টিফিকেট থাকা সত্ত্বেও SSL ত্রুটি দেখেছেন।
- মূল কারণ: Android ট্রাস্ট স্টোরগুলি CA চেইন মাইগ্রেশনের তুলনায় পিছিয়ে থাকে।
- সমাধান: লিগ্যাসি বা ক্রস-সাইনড চেইন ব্যবহার করে পুনর্ইস্যু করা, অথবা আরো ভাল মোবাইল সামঞ্জস্য রয়েছে এমন CA-তে মাইগ্রেট করা।
- মূল অন্তর্দৃষ্টি: SSL বিশ্বস্ততা শুধুমাত্র সার্টিফিকেটের বৈধতার উপর নয়, ক্লায়েন্ট প্ল্যাটফর্মের উপর নির্ভর করে।
একটি SSL সার্টিফিকেট প্রযুক্তিগতভাবে বৈধ হতে পারে কিন্তু তবুও উৎপাদনে ব্যর্থ হতে পারে। সার্টিফিকেটের বৈধতা শুধুমাত্র নিশ্চিত করে যে এটি ইস্যু করা হয়েছে এবং ক্রিপ্টোগ্রাফিক্যালি সুদৃঢ়। এটি সমস্ত ডিভাইসে সর্বজনীন বিশ্বাস নিশ্চিত করে না।
CA চেইন মাইগ্রেশনের সময় ঠিক এটাই ঘটে। Certificate Authorities নিরাপত্তা, সম্মতি এবং দীর্ঘমেয়াদী টেকসই উন্নয়নের জন্য রুট এবং ইন্টারমিডিয়েটগুলি রোটেট করে।
কিন্তু ক্লায়েন্ট প্ল্যাটফর্মগুলি, বিশেষত মোবাইল অপারেটিং সিস্টেমগুলি, তাদের ট্রাস্ট স্টোরগুলি অনেক ধীরে এবং অসামঞ্জস্যপূর্ণভাবে আপডেট করে। ফলস্বরূপ আধুনিক সার্টিফিকেট অবকাঠামো এবং লিগ্যাসি ডিভাইস বিশ্বাসের মধ্যে একটি ফাটল তৈরি হয়।
এই কেস স্টাডিতে, আমরা দুটি প্রকৃত ঘটনা পরীক্ষা করি যেখানে CA চেইন পরিবর্তন Android ডিভাইসগুলিতে বৈধ SSL সার্টিফিকেটের ব্যর্থতার কারণ হয়েছিল। আমরা দেখাই কিভাবে এই ব্যর্থতাগুলি উৎপাদনে প্রকাশিত হয়েছিল, কেন স্ট্যান্ডার্ড ডায়াগনস্টিক্স অবিলম্বে কারণ প্রকাশ করেনি, এবং কিভাবে বিভিন্ন সমাধানের পথ প্রতিটি ক্ষেত্রে মোবাইল সামঞ্জস্য পুনরুদ্ধার করেছিল।
Xamisoft: যখন একটি সার্ভার আপগ্রেড Android বিশ্বাস ভেঙে দিল
Xamisoft ডেস্কটপ এবং মোবাইল প্ল্যাটফর্মে ব্যবহৃত ভাষা-শেখানোর অ্যাপ্লিকেশন তৈরি করে। তাদের অবকাঠামো Windows Server 2019-এ SSL সমস্যা ছাড়াই চালু ছিল। ডেস্কটপ ব্রাউজার এবং Android ডিভাইসগুলি স্বাভাবিকভাবে কাজ করেছিল, এবং সার্টিফিকেট স্থাপনা একটি স্ট্যান্ডার্ড IIS সেটআপ অনুসরণ করেছিল। সমস্যাটি শুধুমাত্র একটি রুটিন আপগ্রেডের পরে দেখা দিয়েছিল।
সমস্যা
তারা তাদের পরিবেশ Windows Server 2019 থেকে Windows Server 2025-এ মাইগ্রেট করেছে এবং একই পদ্ধতি ব্যবহার করে SSL সার্টিফিকেট পুনরায় ইনস্টল করেছে যা আগে কাজ করেছিল। সার্ভারের দৃষ্টিকোণ থেকে, সবকিছু সঠিক ছিল।
সার্টিফিকেটটি ইনস্টল করা হয়েছিল, রুট এবং ইন্টারমিডিয়েট সার্টিফিকেট উপস্থিত ছিল, এবং ডেস্কটপ ব্রাউজারগুলি কোনো সতর্কতা দেখায়নি। ভাঙা SSL কনফিগারেশনের কিছুই সুপারিশ করেনি। তারপর Android ব্যবহারকারীরা ব্যর্থতার রিপোর্ট করতে শুরু করেছিলেন। পুরাতন Android সংস্করণগুলিতে, বিশেষত Android 6-এ, সাইটটি ত্রুটি প্রদর্শন করেছিল: “এই সার্টিফিকেটটি একটি বিশ্বস্ত কর্তৃপক্ষের কাছ থেকে নয়।”

কিছু ক্ষেত্রে, নতুন Android বিল্ডগুলিতেও অনুরূপ ত্রুটি দেখা দিয়েছিল। যা পরিস্থিতিকে ব্যাখ্যা করা আরো কঠিন করে তুলেছিল। প্রথম নজরে, মনে হয়েছিল এটি একটি ভুল কনফিগার করা সার্ভার বা অনুপস্থিত সার্টিফিকেট ফাইল।
ক্লায়েন্টের দৃষ্টিকোণ থেকে, পরিস্থিতিটি কোনো অর্থ করেনি:
- একই সার্টিফিকেট Windows Server 2019-এ কোনো সমস্যা ছিল না।
- এটি এখন Windows Server 2025-এ ব্যর্থ হচ্ছিল।
- ডেস্কটপ ব্রাউজারগুলি এখনও কাজ করছিল।
- শুধুমাত্র মোবাইল ব্যবহারকারীরা অবরুদ্ধ ছিলেন।
মূল কারণ বিশ্লেষণ
এটি ছিল ক্লাসিক “সবকিছু বৈধ, তবু ব্যবহারকারীরা লক আউট” দৃশ্যপট। এই মুহূর্তে, দুটি প্রযুক্তিগত মাত্রা পৃষ্ঠে আসতে শুরু করেছিল।
1. CA চেইন নিজেই
Windows Server 2019-এ, সার্টিফিকেটটি পুরাতন Sectigo RSA Domain Validation Secure Server CA হায়ারার্কির অধীনে ইস্যু করা হয়েছিল। এই চেইনটি ব্যাপকভাবে বিশ্বস্ত, পুরাতন সংস্করণগুলি সহ।
Windows Server 2025-এ, একই সার্টিফিকেট এখন চেইন করছিল: Sectigo Public Server Authentication CA DV R36.
এটি Sectigo-র নতুন ট্রাস্ট হায়ারার্কির অংশ ছিল। এটি বৈধ এবং আধুনিক সিস্টেমের দ্বারা বিশ্বস্ত ছিল, কিন্তু কিছু Android ট্রাস্ট স্টোরে এখনও এটি অন্তর্ভুক্ত ছিল না। সেই ডিভাইসগুলির জন্য, সার্টিফিকেট চেইনের কোনো বিশ্বস্ত অ্যাঙ্কর ছিল না।
2. সার্টিফিকেট চেইন ডেলিভারি
Windows Server 2019 সিস্টেম স্টোর ব্যবহার করে অনুপস্থিত ইন্টারমিডিয়েট সার্টিফিকেটগুলি পূরণ করে। IIS পর্দার আড়ালে ইন্টারমিডিয়েটগুলি পুনরুদ্ধার করতে পারত এবং ক্লায়েন্টদের কাছে সম্পূর্ণ চেইন উপস্থাপন করতে পারত, এমনকি যদি অ্যাডমিনিস্ট্রেটর স্পষ্টভাবে প্রতিটি উপাদান ইনস্টল না করে থাকেন। Windows Server 2025 সেই আচরণ পরিবর্তন করেছে। এটি সম্পূর্ণ চেইন স্পষ্টভাবে কনফিগার করা প্রয়োজন। যদি কোনো ইন্টারমিডিয়েট সার্টিফিকেট অনুপস্থিত বা ভুলভাবে ক্রমানুসারে থাকে, কিছু ক্লায়েন্ট যাচাইকরণে ব্যর্থ হবে এমনকি ব্রাউজারগুলি AIA (Authority Information Access) ফেচিং এর মাধ্যমে চেইন পুনরুদ্ধার করতে পারলেও।
এর অর্থ Xamisoft দুটি ওভারল্যাপিং সমস্যার সাথে মোকাবিলা করছিল:
- কিছু Android ডিভাইস নতুন Sectigo হায়ারার্কি বিশ্বাস করেনি।
- কিছু ক্লায়েন্ট সার্ভার থেকে সম্পূর্ণ চেইন সঠিকভাবে গ্রহণ করছিল না।
একা একটি সমস্যাই SSL ভাঙতে পারে। একসাথে, তারা প্রকৃত কারণকে অস্পষ্ট করে।
এটি ব্যাখ্যা করেছে কেন:
- ডেস্কটপ ব্রাউজারগুলি এখনও কাজ করছিল।
- SSL পরীক্ষার টুলগুলি বেশিরভাগ সবুজ ফলাফল দেখিয়েছিল।
- Android ডিভাইসগুলি অপ্রত্যাশিতভাবে ব্যর্থ হয়েছিল, সংস্করণ এবং ভেন্ডর বিল্ডের উপর নির্ভর করে।
আমাদের নির্ণয়
প্রথমে, আমরা স্পষ্ট করেছি যে Android ডিভাইসগুলি কখনই সার্ভারের ট্রাস্ট স্টোর ব্যবহার করে না। Windows-এ রুট সার্টিফিকেট ইনস্টল করা Android-এর জন্য কিছুই করে না। বিশ্বাসের সিদ্ধান্তটি সম্পূর্ণভাবে ডিভাইসে নেওয়া হয়।
দ্বিতীয়ত, আমরা ব্যাখ্যা করেছি যে Windows Server 2025 স্পষ্ট চেইন সম্পূর্ণতার প্রয়োজন। সার্ভারের উপস্থাপন করতে হবে:
- সার্ভার সার্টিফিকেট
- সঠিক ইন্টারমিডিয়েট সার্টিফিকেট
- সঠিক ক্রমে
অন্তর্নিহিত পুনরুদ্ধারের উপর নির্ভর করা আর কার্যকর ছিল না।
সমাধান
IIS-কে এটি নির্ভরযোগ্যভাবে পরিচালনা করতে বাধ্য করার চেষ্টা করার পরিবর্তে, Xamisoft একটি কাঠামোগত সমাধান প্রয়োগ করেছে। তারা IIS-এর সামনে প্রক্সি হিসাবে Nginx স্থাপন করেছে এবং Nginx-কে স্পষ্টভাবে সম্পূর্ণ সার্টিফিকেট চেইন পরিবেশন করার জন্য কনফিগার করেছে।
এটি দুটি জিনিস অর্জন করেছিল:
- সম্পূর্ণ চেইন প্রতিটি ক্লায়েন্টের কাছে ধারাবাহিকভাবে সরবরাহ করা হয়েছিল।
- Android ডিভাইসগুলি যারা এখনও হায়ারার্কির পুরাতন অংশগুলি বিশ্বাস করত তারা সঠিকভাবে যাচাই করতে পারত।
পরিবর্তনের পরে, SSL ত্রুটিগুলি অদৃশ্য হয়ে গেছে এবং Android 6 ডিভাইসগুলি আবার সাইটে অ্যাক্সেস করতে পারত। সার্টিফিকেট নিজেই কোনো পরিবর্তন প্রয়োজন ছিল না।
এই ঘটনা তুলে ধরেছে যে SSL ব্যর্থতাগুলি প্রায়শই একটি ভুল দ্বারা সৃষ্ট হয় না, বরং CA চেইন বিবর্তন, প্ল্যাটফর্ম ট্রাস্ট স্টোর, সার্ভার সফটওয়্যার আচরণ এবং সার্টিফিকেট সরবরাহের যান্ত্রিকতার মধ্যে মিথস্ক্রিয়া থেকে উদ্ভূত হয়। Xamisoft-এর সমাধান আধুনিক CA অবকাঠামো এবং লিগ্যাসি ক্লায়েন্ট বিশ্বাসের মধ্যে সরবরাহের পথ মেরামত করেছে।
Coppernic: একটি সার্টিফিকেট পুনর্ইস্যুর পরে Android 6 ব্যর্থ হয়েছে
Coppernic হল একটি ফরাসি প্রযুক্তি কোম্পানি যা পরিচয়, অ্যাক্সেস নিয়ন্ত্রণ এবং ডেটা সংগ্রহ সিস্টেমের জন্য পেশাদার মোবাইল হার্ডওয়্যার এবং সফটওয়্যার সমাধান ডিজাইন এবং উন্নয়ন করে।
সমস্যা
সমস্যাটি একটি রুটিন সার্টিফিকেট প্রতিস্থাপনের সময় শুধুমাত্র লিগ্যাসি Android ডিভাইসে দেখা দিয়েছিল। Coppernic একটি বিদ্যমান SSL সার্টিফিকেট থেকে একটি নতুন অর্ডার করা সার্টিফিকেটে পরিবর্তনের প্রক্রিয়ায় ছিল।
ইনস্টলেশন নিজেই প্রত্যাশিত হিসাবে গিয়েছিল। ডেস্কটপ ব্রাউজারগুলি সতর্কতা ছাড়াই সার্টিফিকেট গ্রহণ করেছিল। কোনো সার্ভার-সাইড মিসকনফিগারেশন দৃশ্যমান ছিল না। তবুও, Android 6.0.1 টার্মিনালগুলি আর একটি বিশ্বস্ত সংযোগ স্থাপন করতে পারত না।
সার্টিফিকেটটি বৈধ, সঠিকভাবে ইনস্টল করা এবং একটি বৈধ Certificate Authority দ্বারা ইস্যু করা হয়েছিল, তবুও সেই ডিভাইসগুলি এটি প্রত্যাখ্যান করেছিল। পূর্ববর্তী সার্টিফিকেট কাজ করেছিল। অবকাঠামোতে অন্য কিছুই পরিবর্তন হয়নি।
মূল কারণ বিশ্লেষণ
একমাত্র পার্থক্য ছিল চেইন। নতুন সার্টিফিকেটটি Sectigo-র আপডেট করা হায়ারার্কি, R46 ইন্টারমিডিয়েট ব্যবহার করে ইস্যু করা হয়েছিল। এই চেইনটি Sectigo-র রুট মাইগ্রেশন প্রক্রিয়ার অংশ। এটি সম্মত এবং আধুনিক প্ল্যাটফর্মের দ্বারা বিশ্বস্ত, কিন্তু অনেক পুরাতন
আজ অর্ডার করার সময় SSL শংসাপত্রে 10% সংরক্ষণ করুন!
দ্রুত ইস্যু, শক্তিশালী এনক্রিপশন, 99.99% ব্রাউজার বিশ্বাস, নিবেদিত সমর্থন, এবং 25 দিনের অর্থ ফেরত গ্যারান্টি। কুপন কোড: SAVE10

