hero-generate
SSL শংসাপত্রের বিশদ পরীক্ষা করা হচ্ছে
আমরা বৈধতা, নিরাপত্তা এবং কনফিগারেশন পরীক্ষা করার সময় দয়া করে অপেক্ষা করুন...

উপরের SSL checker যেকোনো পাবলিক-ফেসিং SSL/TLS সার্টিফিকেটে সম্পূর্ণ ডায়াগনস্টিক চালায় এবং নিরাপত্তা রেটিং, সার্টিফিকেট চেইন, cipher suites, ভালনারেবিলিটি স্ক্যান এবং ব্রাউজার সামঞ্জস্যতা সম্পর্কিত বিস্তারিত রিপোর্ট প্রদান করে। নিচের অংশগুলো রিপোর্টের প্রতিটি অংশ কীভাবে পড়তে হয় তা ব্যাখ্যা করে।

আপনার SSL নিরাপত্তা রেটিং বোঝা

প্রতিটি SSL checker স্ক্যান A+ থেকে F পর্যন্ত একটি লেটার গ্রেড এবং 100-এর মধ্যে একটি সংখ্যাসূচক স্কোর প্রদান করে।

  • A বা A+ মানে সার্টিফিকেটটি সঠিকভাবে ইনস্টল করা হয়েছে, আধুনিক ক্রিপ্টোগ্রাফি ব্যবহার করে এবং সার্ভারে সঠিক নিরাপত্তা ফিচারগুলো চালু আছে।
  • B-গ্রেডের সার্টিফিকেটগুলো কার্যকর, তবে আরও শক্তিশালী করার সুযোগ রয়েছে।
  • C এবং তার নিচে সাধারণত একটি পুরনো TLS ভার্সন, কোনো নিরাপত্তা ফিচারের অনুপস্থিতি, বা মেয়াদ শেষ হতে চলা সার্টিফিকেটের ইঙ্গিত দেয়।

স্কোরটি পাঁচটি ক্যাটাগরিতে ভারিত:

  • Certificate (বৈধতা এবং অ্যালগরিদম)
  • Trust (স্বীকৃত Certificate Authority এবং চেইনের অখণ্ডতা)
  • Protocol (সমর্থিত TLS ভার্সন, পুরনো প্রোটোকল নিষ্ক্রিয়)
  • Features (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
  • Validity (মেয়াদ শেষ হওয়ার আগে অবশিষ্ট সময়)

বেশিরভাগ রেটিং হ্রাস Features ক্যাটাগরি থেকে আসে। সার্টিফিকেটটি কাজ করে, চেইন ঠিক আছে, প্রোটোকল আপ-টু-ডেট, কিন্তু HSTS কনফিগার করা নেই বা CAA রেকর্ড প্রকাশিত নেই। এগুলো সার্ভার-সাইড এবং DNS-সাইডের সমস্যা, সার্টিফিকেটের সমস্যা নয়।


আপনার সার্টিফিকেটের বিবরণ পড়া

SSL checker চেইনের প্রতিটি সার্টিফিকেট ফিল্ড বাই ফিল্ড বিশ্লেষণ করে।

Common Name — সার্টিফিকেটটি যে প্রাথমিক ডোমেইনের জন্য ইস্যু করা হয়েছে। এটি অবশ্যই চেক করা URL-এর সাথে মিলতে হবে, অন্যথায় ব্রাউজার সংযোগ প্রত্যাখ্যান করবে।

Issued By — ইস্যুকারী ইন্টারমিডিয়েট এবং মূল Certificate Authority। Sectigo, DigiCert, GeoTrust, বা Google Trust Services-এর মতো স্বীকৃত নামগুলো স্বয়ংক্রিয়ভাবে বিশ্বাসযোগ্য। অপরিচিত ইস্যুকারী বা “self-signed” যেকোনো কিছু সতর্কতা তৈরি করবে।

Valid From / Valid To — সার্টিফিকেটের বৈধতার সময়সীমা। Valid From মানুষের প্রত্যাশার চেয়ে বেশি গুরুত্বপূর্ণ: যদি সার্ভারের ঘড়ি ভুল থাকে বা সার্টিফিকেট আগেভাগে ইনস্টল করা হয়, ব্রাউজার এটিকে এখনো বৈধ নয় বলে প্রত্যাখ্যান করে।

Signature Algorithm — আধুনিক সার্টিফিকেটগুলো SHA-256, SHA-384, বা ecdsa-with-SHA256 ব্যবহার করে। SHA-1 বছর আগে বাতিল হয়েছে এবং এটি এখনো ব্যবহার করা যেকোনো সার্টিফিকেট পুনরায় ইস্যু করা উচিত।

Public Key — RSA 2048-bit বা তার বেশি হলো মানদণ্ড। ECC 256-bit হলো আধুনিক বিকল্প এবং এটি ছোট, দ্রুত সার্টিফিকেট তৈরি করে।

SAN (Subject Alternative Name) — সার্টিফিকেটটি যে অতিরিক্ত হোস্টনেমগুলো কভার করে। Wildcards যেমন *.example.com সমস্ত একক-স্তরের সাবডোমেইন কভার করে। Multi-domain সার্টিফিকেটগুলো এখানে প্রতিটি সুরক্ষিত হোস্টনেম তালিকাভুক্ত করে। DV, OV, বা EV সার্টিফিকেটের জন্য, SAN তালিকা নির্ধারণ করে ঠিক কোন ডোমেইনগুলোর জন্য সার্টিফিকেটটি বৈধ হবে।


SSL সার্টিফিকেটের নিরাপত্তা ফিচারগুলো ব্যাখ্যা করা হলো

সার্টিফিকেটের বাইরে, SSL checker ছয়টি নিরাপত্তা ফিচারের একটি প্যানেলে রিপোর্ট করে।

OCSP Stapling — সার্ভার CA থেকে নিজের রিভোকেশন স্ট্যাটাস আগেভাগে নিয়ে আসে এবং পোর্ট 443-এ TLS হ্যান্ডশেকে অন্তর্ভুক্ত করে। “Not Supported” প্রতিটি সংযোগে লেটেন্সি যোগ করে। সাধারণত Apache, Nginx, বা IIS-এ একটি এক-লাইনের কনফিগ পরিবর্তন।

Perfect Forward Secrecy (PFS) — প্রতিটি সেশন একটি অনন্য কী ব্যবহার করে, তাই ভবিষ্যতে প্রাইভেট-কী আপোষ করা হলেও অতীতের ট্র্যাফিক ডিক্রিপ্ট করা যাবে না। “Not Supported” মানে রেকর্ড করা সেশনগুলো পূর্ববর্তীভাবে ডিক্রিপ্ট করা যেতে পারে। ECDHE cipher suites পছন্দ করে সক্রিয় করুন।

Certificate Transparency (CT) — ইস্যু করা সার্টিফিকেটগুলো পাবলিক CT লগে রেকর্ড করা হয়, যা ডোমেইন মালিকদের ভুল ইস্যু শনাক্ত করতে দেয়। একটি পাবলিক সার্টিফিকেটে “Not Supported” অস্বাভাবিক।

HSTS (HTTP Strict Transport Security) — একটি সার্ভার রেসপন্স হেডার যা ব্রাউজারকে সাধারণ HTTP সংযোগ প্রত্যাখ্যান করতে বলে। HSTS ছাড়া, একজন আক্রমণকারী ভিজিটরকে HTTPS থেকে ডাউনগ্রেড করে ট্র্যাফিক আটকাতে পারে। ওয়েব সার্ভার কনফিগে একটি Strict-Transport-Security হেডার যোগ করুন।

Certificate Revocation Status — চেকার OCSP এবং CRL কোয়েরি করে নিশ্চিত করে যে সার্টিফিকেটটি রিভোক করা হয়নি। “Good” = সক্রিয়। “Revoked” = ব্রাউজার এটি প্রত্যাখ্যান করবে, অবিলম্বে পুনরায় ইস্যু করুন। CRL-এ “Unknown” সাধারণ এবং OCSP Good ফেরত দিলে এটি কোনো সমস্যা নয়।

DNS CAA Record — একটি DNS রেকর্ড যা তালিকাভুক্ত করে কোন Certificate Authorities ডোমেইনের জন্য সার্টিফিকেট ইস্যু করতে পারে। এটি ছাড়া, যেকোনো CA প্রযুক্তিগতভাবে একটি সার্টিফিকেট ইস্যু করতে পারে। DNS প্রোভাইডারে আপনার CA-গুলো তালিকাভুক্ত করে একটি CAA রেকর্ড যোগ করুন।


TLS ভালনারেবিলিটি স্ক্যানের ফলাফল

পাঁচটি নামকরণ করা TLS ভালনারেবিলিটি স্ক্যান করা হয়। বেশিরভাগ সার্ভার বছর আগে প্যাচ করা হয়েছে, তাই SSL checker সাধারণত সব-ক্লিয়ার নিশ্চিত করে।

Heartbleed (CVE-2014-0160) — একটি OpenSSL মেমরি-রিড বাগ যা প্রাইভেট কী উন্মুক্ত করেছিল। “Safe” মানে সার্ভারটি একটি প্যাচড OpenSSL বিল্ড চালাচ্ছে।

POODLE (CVE-2014-3566) — SSLv3-এর বিরুদ্ধে একটি padding-oracle আক্রমণ। “Safe” মানে SSLv3 নিষ্ক্রিয়।

BEAST (CVE-2011-3389) — একটি TLS 1.0 cipher block chaining ত্রুটি। “Safe” মানে TLS 1.0 নিষ্ক্রিয় বা সার্ভার অ-ভালনারেবল cipher suites ব্যবহার করে।

ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat। একটি RSA padding ত্রুটি যা অনেক ভেন্ডর ইমপ্লিমেন্টেশনে পুনরায় আবির্ভূত হয়েছিল। “Safe” মানে সার্ভার ভালনারেবল কী এক্সচেঞ্জ উন্মুক্ত করে না।

Ticketbleed (CVE-2016-9244) — TLS সেশন টিকেটের মাধ্যমে F5 BIG-IP-নির্দিষ্ট মেমরি ডিসক্লোজার। “Safe” মানে কোনো আনপ্যাচড F5 ডিভাইস নেই।


Cipher suites এবং প্রোটোকল সমর্থন

SSL checker সমর্থিত cipher suites-গুলো TLS 1.3, TLS 1.2 এবং Weak-এর অধীনে গ্রুপ করে।

  • TLS 1.3-এ ডিজাইন অনুযায়ী শক্তিশালী suites-এর একটি ছোট তালিকা রয়েছে।
  • TLS 1.2 cipher মানের তারতম্য রয়েছে, তাই প্রতিটি suite আলাদাভাবে তালিকাভুক্ত করা হয়।
  • Weak কলামটি পুরনো প্রোটোকল বা cipher-গুলো চিহ্নিত করে যা নিষ্ক্রিয় করা উচিত: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES, এবং যেকোনো NULL বা EXPORT cipher।

Cipher suite নামগুলো একটি পূর্বানুমানযোগ্য কাঠামো অনুসরণ করে। TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384-এ:

  • ECDHE হলো কী এক্সচেঞ্জ (Perfect Forward Secrecy প্রদান করে)
  • ECDSA হলো সিগনেচার অ্যালগরিদম
  • AES_256_GCM হলো সিমেট্রিক cipher
  • SHA384 হলো হ্যাশ ফাংশন

128-bit এবং 256-bit উভয় AES নিরাপদ।


সার্টিফিকেট চেইন যাচাইকরণ

রিপোর্টটি তিনটি স্তরে সম্পূর্ণ সার্টিফিকেট চেইন দেখায়:

  • Server সার্টিফিকেট
  • Intermediate সার্টিফিকেট
  • Root সার্টিফিকেট

প্রতিটি স্তর তার উপরের স্তর দ্বারা স্বাক্ষরিত, এবং চেইনটি অবশ্যই এমন একটি root-এ শেষ হতে হবে যা ব্রাউজার ইতিমধ্যে বিশ্বাস করে।

“Chain Complete” মানে ব্রাউজারগুলো কোনো সমস্যা ছাড়াই server থেকে root পর্যন্ত যেতে পারে।

“Incomplete” মানে সার্ভার যা পাঠায় তাতে এক বা একাধিক intermediate অনুপস্থিত, তাই ব্রাউজারগুলো সার্টিফিকেটটিকে একটি বিশ্বস্ত root-এর সাথে সংযুক্ত করতে পারে না এবং ভিজিটররা একটি নিরাপত্তা সতর্কতা দেখতে পায়।

অসম্পূর্ণ চেইন হলো সবচেয়ে সাধারণ SSL ইনস্টলেশন সমস্যাগুলোর একটি, এবং SSL checker রিপোর্টের শীর্ষে এগুলো চিহ্নিত করে। সমাধান প্রায় সবসময় CA প্রদত্ত সম্পূর্ণ চেইন বান্ডেল ব্যবহার করে পুনরায় ইনস্টল করা। সার্ভার-নির্দিষ্ট পথ আলাদা: Apache একটি chain file directive ব্যবহার করে যেখানে Nginx একটি fullchain.pem প্রত্যাশা করে। IIS সার্টিফিকেট ইমপোর্ট উইজার্ডের মাধ্যমে চেইন পুনর্নির্মাণ পরিচালনা করে।


SSL সার্টিফিকেটের মেয়াদ শেষ হওয়া পরীক্ষা করা

SSL checker দুটি জায়গায় মেয়াদ শেষ হওয়ার তথ্য দেখায়: শীর্ষ সারসংক্ষেপে অবশিষ্ট দিন এবং Valid To তারিখ প্রদর্শিত হয়, এবং চেইনের প্রতিটি সার্টিফিকেট তার নিজস্ব বৈধতার সময়সীমা দেখায়।

CA/Browser Forum Ballot SC-081v3-এর অধীনে, পাবলিক SSL/TLS সার্টিফিকেটের আয়ুষ্কাল ধাপে ধাপে কমানো হচ্ছে। ১৫ মার্চ, ২০২৬ থেকে সর্বোচ্চ বৈধতা 398 দিন থেকে 200 দিনে নামিয়ে আনা হয়েছে। ১৫ মার্চ, ২০২৭ থেকে এটি 100 দিনে এবং ১৫ মার্চ, ২০২৯ থেকে 47 দিনে নামবে।

200-দিনের সার্টিফিকেটের ক্ষেত্রে, মাসিক চেক এবং 30-দিনের চিহ্নে একটি রিমাইন্ডার কাজ করে। 47-দিনের সার্টিফিকেট আসার সময়, ম্যানুয়াল রিনিউয়াল অব্যবহারিক হয়ে পড়বে। আদর্শ সমাধান হলো ACME-ভিত্তিক অটোমেশন, যা সার্ভারকে ম্যানুয়াল হস্তক্ষেপ ছাড়াই সার্টিফিকেট অনুরোধ করতে এবং রিনিউ করতে দেয়।


ব্রাউজার সামঞ্জস্যতা — কখন এটি গুরুত্বপূর্ণ

SSL checker ১৩টি ব্রাউজার এবং ডিভাইস কম্বিনেশনের বিপরীতে সার্টিফিকেট পরীক্ষা করে। আধুনিক ব্রাউজারগুলো (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, iOS 15+ Safari, Android 10+) সর্বদা একটি বর্তমান সার্টিফিকেটে Supported দেখাবে।

Android 5-7 এবং iOS 12-এর মতো পুরনো মোবাইল প্ল্যাটফর্মগুলো প্রায়ই আংশিক সমর্থন দেখায়। এটি গুরুত্বপূর্ণ কিনা তা দর্শকদের উপর নির্ভর করে। Internet Explorer 10 এবং 11-এর মতো লেগ্যাসি ডেস্কটপ ব্রাউজারগুলো প্রায় সবসময় আধুনিক সার্টিফিকেটে ব্যর্থ হয় কারণ তারা ডিফল্টভাবে TLS 1.2 সমর্থন করে না। ২০২৬ সালে সমস্ত আধুনিক ব্রাউজার সবুজ থাকলে 9/13 স্কোর স্বাভাবিক।


কখন SSL চেক চালাবেন

ইনস্টলেশনের পরে একটি মাত্র চেক যথেষ্ট নয়। SSL checker চালান:

  • একটি নতুন সার্টিফিকেট ইনস্টল করার পরে
  • 200-দিনের চক্রে মেয়াদ শেষ হওয়ার 30 দিন আগে
  • প্রতিটি রিনিউয়াল বা পুনরায় ইস্যুর পরে
  • সার্ভার মাইগ্রেশন বা IP পরিবর্তনের পরে
  • Certificate Authority পরিবর্তনের পরে
  • wildcard বা multi-domain সেটআপে যাওয়ার পরে
  • HSTS, OCSP Stapling, বা যেকোনো TLS কনফিগ পরিবর্তন সক্রিয় করার পরে

সচরাচর জিজ্ঞাস্য

আমার SSL সার্টিফিকেট কত বার চেক করা উচিত?

মাসিক একটি যুক্তিসঙ্গত ভিত্তি। ২০০-দিনের সার্টিফিকেট এখন সর্বোচ্চ হওয়ায়, মেয়াদ শেষের ৩০ দিন আগে একটি সম্পূর্ণ পরীক্ষা চালানোর জন্য একটি কঠোর অনুস্মারক সেট করুন। নবায়নের পরে একটি অতিরিক্ত পরীক্ষা চালান, কারণ চেইন বান্ডেল ত্রুটি নবায়ন-পরবর্তী সবচেয়ে সাধারণ সমস্যা।

লিংক কপি করুন

আমার SSL নিরাপত্তা রেটিং কত হওয়া প্রয়োজন?

A বা A+ এর লক্ষ্য রাখুন। B রেটিং প্রতিটি ব্রাউজারে কাজ করে, কিন্তু সাধারণত এটি সমাধানযোগ্য সমস্যা নির্দেশ করে। বেশিরভাগ রেটিং হ্রাস দুটি বিষয়ের সাথে সম্পর্কিত যা SSL checker নিরাপত্তা বৈশিষ্ট্য প্যানেলে চিহ্নিত করে: একটি অনুপস্থিত HSTS হেডার বা একটি অনির্ধারিত CAA রেকর্ড। কোনটিই সার্টিফিকেট স্পর্শ করার প্রয়োজন নেই।

লিংক কপি করুন

রিপোর্টে “incomplete chain” দেখা মানে কী?

আপনার সার্ভার ব্রাউজারগুলির প্রয়োজনীয় সমস্ত মধ্যবর্তী সার্টিফিকেট পাঠাচ্ছে না। দ্রুত সমাধান: Apache SSLCertificateChainFile বা একটি সম্মিলিত বান্ডল ব্যবহার করে, Nginx একটি fullchain.pem ফাইল প্রত্যাশা করে, এবং IIS সার্টিফিকেট আমদানি উইজার্ডের মাধ্যমে চেইনটি পুনর্নির্মাণ করে।

লিংক কপি করুন

আমি কি একটি অভ্যন্তরীণ বা স্থানীয় হোস্টনেমের SSL সার্টিফিকেট পরীক্ষা করতে পারি?

না, পাবলিক চেকাররা ফায়ারওয়ালের পিছনে থাকা অভ্যন্তরীণ হোস্টগুলিতে পৌঁছাতে পারে না। একই নেটওয়ার্কের একটি মেশিন থেকে, সমতুল্য আউটপুটের জন্য openssl s_client -connect host:443 -servername host চালান। OpenSSL কমান্ড-লাইন টুল বেশিরভাগ Linux ডিস্ট্রিবিউশনের সাথে আসে এবং Windows এর জন্য উপলব্ধ।

লিংক কপি করুন

SSL Checker কি যেকোনো Certificate Authority থেকে আসা সার্টিফিকেটের জন্য কাজ করে?

হ্যাঁ। এটি সার্ভার যেকোনো সার্টিফিকেট পড়ে, Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services এবং অন্যান্য থেকে। SSL Dragon এর SSL certificate catalog সেই CA গুলির মধ্যে ছয়টি পাশাপাশি কভার করে।

লিংক কপি করুন

আমার SSL কাজ করছে সত্ত্বেও রিপোর্ট HSTS এর জন্য “Not Supported” দেখাচ্ছে কেন?

HSTS একটি সার্ভার রেসপন্স হেডার, সার্টিফিকেটের অংশ নয়। সার্টিফিকেটটি সম্পূর্ণভাবে বৈধ থাকতে পারে যখন HSTS কনফিগার করা হয়নি। এটি ওয়েব সার্ভার কনফিগে যোগ করুন: Apache ব্যবহার করে Header always set Strict-Transport-Security, Nginx ব্যবহার করে add_header Strict-Transport-Security

লিংক কপি করুন