HTTPS क्या है? – आप क्या जानना चाहते है

हालाँकि हाल ही में मजबूत एन्क्रिप्शन ट्रेंडी बन गया है, पिछले 20 वर्षों से वेबसाइटें लगातार मजबूत एंड-टू-एंड एन्क्रिप्शन का उपयोग कर रही हैं। आखिरकार, अगर वेबसाइटों को बहुत सुरक्षित नहीं बनाया जा सकता है, तो ऑनलाइन वाणिज्य का कोई भी रूप जैसे खरीदारी या बैंकिंग संभव नहीं होगा। इसके लिए उपयोग किया जाने वाला एन्क्रिप्शन प्रोटोकॉल HTTPS है, जो HTTP सुरक्षित (या HTTP ओवर SSL / TLS) के लिए है। इसका उपयोग किसी भी वेबसाइट द्वारा किया जाता है, जिसे उपयोगकर्ताओं को सुरक्षित करने की आवश्यकता होती है और यह इंटरनेट पर सभी सुरक्षा का मूल आधार है.


HTTPS का उपयोग वेबसाइटों द्वारा भी किया जा रहा है, जिसके लिए सुरक्षा एक प्रमुख प्राथमिकता नहीं है। एडवर्ड स्नोडेन के बड़े पैमाने पर सरकारी निगरानी सर्वेक्षण के मद्देनजर सामान्य इंटरनेट गोपनीयता और सुरक्षा के मुद्दों पर यह चिंता बढ़ गई है।.

ईएफएफ की लेट एनक्रिप्ट पहल, सिमेंटेक एनक्रिप्शन एवरीवेयर प्रोग्राम और मोज़िला को गैर-एचटीटीपीएस को प्राप्त करने के लिए चुनने वाले प्रोजेक्ट्स ने खोज परिणाम प्राप्त किए हैं, हालांकि, प्रोटोकॉल के सामान्य अपनाने में तेजी आई है.

तो HTTPS क्या करता है?

जब आप एक गैर-सुरक्षित HTTP वेबसाइट पर जाते हैं, तो सभी डेटा को अनएन्क्रिप्टेड ट्रांसफर कर दिया जाता है, इसलिए कोई भी व्यक्ति उस वेबसाइट पर जाते समय आपके द्वारा किए जाने वाले हर काम को देख सकता है (ऑनलाइन भुगतान करते समय आपके लेन-देन के विवरण जैसी चीजें)। आपके और वेब सर्वर के बीच स्थानांतरित किए गए डेटा को बदलना संभव है.

HTTPS के साथ, एक क्रिप्टोग्राफ़िक कुंजी एक्सचेंज तब होता है जब आप पहली बार वेबसाइट से कनेक्ट होते हैं, और वेबसाइट पर सभी बाद की क्रियाओं को एन्क्रिप्ट किया जाता है, और इसलिए prying आँखों से छिपाया जाता है। ध्यान दें कि कोई भी देख सकता है कि आप एक निश्चित वेबसाइट पर गए हैं, लेकिन यह नहीं देख सकते हैं कि आप जो अलग-अलग पृष्ठ पढ़ते हैं, या इस वेबसाइट पर किसी भी अन्य डेटा को स्थानांतरित किया जाए।.

उदाहरण के लिए, ProPrivacy वेबसाइट HTTPS का उपयोग करके सुरक्षित है। यह मानते हुए कि आप इस वेब पेज को पढ़ते समय उपयोग नहीं कर रहे हैं, आपका आईएसपी यह देख सकता है कि आपने proprivacy.com का दौरा किया है, लेकिन यह नहीं देख सकते कि आप इस विशेष लेख को पढ़ रहे हैं.

यदि आप एक वीपीएन का उपयोग कर रहे हैं, तो आपका वीपीएन प्रदाता एक ही जानकारी देख सकता है, लेकिन एक अच्छा व्यक्ति साझा आईपी का उपयोग करेगा, इसलिए यह नहीं जानता है कि इसके कई उपयोगकर्ताओं में से कौन सा प्रॉपर्टी प्राइवेसी डॉट कॉम पर गया है, और यह संबंधित सभी लॉग को छोड़ देगा। वैसे भी यात्रा करो.

ध्यान दें कि HTTPS एंड-टू-एंड एन्क्रिप्शन का उपयोग करता है, इसलिए आपके कंप्यूटर (या स्मार्टफोन, आदि) और उस वेबसाइट के बीच गुजरने वाले सभी डेटा एन्क्रिप्टेड हैं। इसका मतलब यह है कि आप असुरक्षित सार्वजनिक वाईफाई हॉटस्पॉट और इस तरह से कनेक्ट होने पर भी सुरक्षित रूप से HTTPS वेबसाइटों का उपयोग कर सकते हैं.

मुझे कैसे पता चलेगा कि कोई वेबसाइट सुरक्षित है?

यह बताना आसान है कि क्या आपके द्वारा देखी जाने वाली वेबसाइट HTTPS द्वारा सुरक्षित है:

  1. सभी में, आपको मुख्य URL / खोज बार के बाईं ओर एक लॉक पैडलॉक आइकन दिखाई देगा.
  2. ज्यादातर में, वेब पता https: // से शुरू होगा। (असुरक्षित वेबसाइटें http: // से शुरू होती हैं, लेकिन https: // और http: // दोनों अक्सर छिपी रहती हैं।)

असुरक्षित वेबसाइट फ़ायरफ़ॉक्स - कोई HTTPS नहीं

असुरक्षित वेबसाइट क्रोम

यहां असुरक्षित वेबसाइटों (फ़ायरफ़ॉक्स और क्रोम) के उदाहरण दिए गए हैं। ध्यान दें कि वेब पते (URL) https के साथ शुरू नहीं होते हैं: और खोज पट्टी के बाईं ओर कोई पैडलॉक आइकन प्रदर्शित नहीं होता है

सुरक्षित वेबसाइट फ़ायरफ़ॉक्स

सुरक्षित वेबसाइट क्रोम

सुरक्षित वेबसाइट एज

यहाँ फ़ायरफ़ॉक्स, क्रोम और माइक्रोसॉफ्ट एज में कुछ सुरक्षित HTTPS वेबसाइट हैं। यद्यपि वे सभी थोड़े अलग दिखते हैं, हम उन सभी में एड्रेस बार के बगल में एक बंद पैडलॉक आइकन को स्पष्ट रूप से देख सकते हैं। ध्यान दें कि अधिकांश ब्राउज़रों के विपरीत, एज URL की शुरुआत में https: // नहीं दिखाता है। आप यह भी देखेंगे कि आइकन हरे या भूरे रंग का हो सकता है ...

हरे और भूरे रंग के पैडलॉक आइकन में क्या अंतर है?

यदि एक पैडलॉक आइकन दिखाया गया है, तो वेबसाइट सुरक्षित है। यदि आइकन हरा है, तथापि, यह दर्शाता है कि वेबसाइट ने आपके ब्राउज़र को विस्तारित सत्यापन प्रमाणपत्र (EV) के साथ प्रस्तुत किया है। यह सत्यापित करने के लिए इरादा है कि प्रस्तुत एसएसएल प्रमाणपत्र डोमेन के लिए सही है और यह डोमेन नाम उस कंपनी का है जिसे आप स्वयं की वेबसाइट की अपेक्षा करेंगे.

सिद्धांत रूप में, फिर, आपको उन वेबसाइटों पर अधिक भरोसा होना चाहिए जो हरे रंग का पैडलॉक प्रदर्शित करती हैं। व्यवहार में, हालांकि, सत्यापन प्रणाली भ्रामक हो सकती है.

nwolb

उदाहरण के लिए, यूके में, नैटवेस्ट बैंक के ऑनलाइन बैंकिंग पते (www.nwolb.com) को ईवी द्वारा सुरक्षित किया जाता है, जो आकस्मिक पर्यवेक्षक एक उच्च-सड़क प्रतियोगी - रॉयल बैंक ऑफ स्कॉटलैंड के रूप में सोच सकता है। जब तक आप नहीं जानते कि नेटवेस्ट आरबीएस के स्वामित्व में है, तो इससे प्रमाणपत्र का अविश्वास हो सकता है, भले ही आपके ब्राउज़र ने इसे एक हरे रंग का आइकन दिया हो.

भ्रम इस तथ्य के कारण भी हो सकता है कि अलग-अलग ब्राउज़र कभी-कभी फ़ायरफ़ॉक्स और क्रोम को स्वीकार करने के लिए विभिन्न मानदंडों का उपयोग करते हैं, उदाहरण के लिए, विकिपीडिया डॉट कॉम पर जाने पर एक हरे रंग का पैडलॉक प्रदर्शित करता है, लेकिन Microsoft एज एक ग्रे आइकन दिखाता है.

सामान्य तौर पर, सामान्य ज्ञान प्रबल होना चाहिए। यदि आप Google पर जा रहे हैं और URL www.google.com है, तो आप बहुत निश्चित हो सकते हैं कि डोमेन Google का है, जो भी पैड आइकन का है!

अन्य पैडलॉक आइकन

आप अन्य पैडलॉक आइकन का सामना भी कर सकते हैं जो मिश्रित सामग्री (वेबसाइट केवल आंशिक रूप से एन्क्रिप्टेड है और ईव्सड्रॉपिंग को रोकती नहीं है) और खराब या एक्सपायर्ड एसएसएल सर्टिफिकेट जैसी चीजों को दर्शाती है। ऐसी वेबसाइटें हैं सुरक्षित नहीं है.

अतिरिक्त जानकारी

सभी ब्राउज़रों में, आप पैडलॉक आइकन पर क्लिक करके HTTPS कनेक्शन को सत्यापित करने के लिए उपयोग किए जाने वाले SSL प्रमाणपत्र के बारे में अतिरिक्त जानकारी प्राप्त कर सकते हैं.

HTTPS अधिक जानकारी

अधिकांश ब्राउज़र आगे खुदाई की अनुमति देते हैं, और यहां तक ​​कि एसएसएल प्रमाण पत्र भी देखते हैं

HTTPS वास्तव में कैसे काम करता है?

हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP) नाम मूल रूप से मानक असुरक्षित को दर्शाता है (यह एप्लिकेशन प्रोटोकॉल है जो वेब पेजों को हाइपरलिंक के माध्यम से एक दूसरे से कनेक्ट करने की अनुमति देता है).

वेब सर्वर द्वारा निर्धारित और प्रमाणीकरण एल्गोरिदम के साथ, HTTPS वेब पेज TLS एन्क्रिप्शन का उपयोग कर सुरक्षित किए जाते हैं.

टीएलएस विवरण

अधिकांश ब्राउज़र आपको HTTPS कनेक्शन के लिए उपयोग किए जाने वाले TLS एन्क्रिप्शन के बारे में विवरण देंगे। यह ProPrivacy द्वारा उपयोग किया जाने वाला एन्क्रिप्शन है, जैसा कि फ़ायरफ़ॉक्स में प्रदर्शित किया गया है। उपयोग की जाने वाली कई शर्तों के बारे में अधिक जानकारी यहां पाई जा सकती है

एक नए कनेक्शन पर बातचीत करने के लिए, HTTPS X.509 पब्लिक की इंफ्रास्ट्रक्चर (PKI) का उपयोग करता है, एक असममित कुंजी एन्क्रिप्शन सिस्टम जहां एक वेब सर्वर एक सार्वजनिक कुंजी प्रस्तुत करता है, जिसे ब्राउज़र की निजी कुंजी का उपयोग करके डिक्रिप्ट किया जाता है। एक आदमी के बीच-बीच में हमले को सुनिश्चित करने के लिए, X.509 HTTPS प्रमाणपत्र - छोटी डेटा फ़ाइलों का उपयोग करता है जो संगठन के विवरण के लिए वेबसाइट की सार्वजनिक क्रिप्टोग्राफ़िक कुंजी को डिजिटल रूप से बाँधते हैं।.

HTTPS प्रमाणपत्र किसी मान्यताप्राप्त प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किया जाता है, जो प्रमाणपत्र के नामित विषय द्वारा सार्वजनिक कुंजी के स्वामित्व को प्रमाणित करता है - एक विश्वसनीय तीसरे पक्ष (TTP) के रूप में क्रिप्टोग्राफ़िक शब्दों में कार्य करना.

यदि कोई वेबसाइट आपके ब्राउज़र को किसी मान्यता प्राप्त CA से प्रमाण पत्र दिखाती है, तो आपका ब्राउज़र साइट को वास्तविक (एक बंद पैडलॉक आइकन दिखाता है) निर्धारित करेगा। और जैसा कि पहले उल्लेख किया गया है, विस्तारित सत्यापन प्रमाणपत्र (ईवीएस) इन एसएसएल प्रमाणपत्रों में विश्वास को बेहतर बनाने का एक प्रयास है.

हर जगह HTTPS

कई वेबसाइटें डिफ़ॉल्ट रूप से उपयोग कर सकती हैं लेकिन नहीं। ऐसे में अक्सर यह संभव है कि वे अपने वेब पते को https: // (बल्कि: //) के साथ जोड़कर सुरक्षित रूप से एक्सेस कर सकें। हालाँकि, एक बेहतर समाधान HTTPS एवरीवेयर का उपयोग करना है.

यह एक स्वतंत्र और खुला स्रोत ब्राउज़र एक्सटेंशन है, जो इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के बीच सहयोग से विकसित किया गया है। एक बार स्थापित होने के बाद, HTTPS एवरीवेयर “HTTPS को इन साइटों के अनुरोधों को फिर से लिखने के लिए चतुर तकनीक” का उपयोग करता है।

यदि कोई HTTPS कनेक्शन उपलब्ध है, तो एक्सटेंशन आपको HTTPS के माध्यम से वेबसाइट से सुरक्षित रूप से कनेक्ट करने का प्रयास करेगा, भले ही यह डिफ़ॉल्ट रूप से प्रदर्शन न किया गया हो। यदि कोई HTTPS कनेक्शन उपलब्ध नहीं है, तो आप नियमित असुरक्षित HTTP के माध्यम से जुड़ेंगे.

HTTPS के साथ हर जगह स्थापित आप सुरक्षित रूप से कई और वेबसाइटों से कनेक्ट होंगे, और इसलिए हम पक्की सलाह देना इसे स्थापित करना। HTTP एवरीवेयर फ़ायरफ़ॉक्स (एंड्रॉइड के लिए फ़ायरफ़ॉक्स सहित), क्रोम और ओपेरा के लिए उपलब्ध है.

HTTPS के साथ समस्या

फेक एसएसएल सर्टिफिकेट

HTTPS के साथ सबसे बड़ी समस्या यह है कि पूरा सिस्टम भरोसे के एक वेब पर निर्भर करता है - हम सीए पर भरोसा करते हैं केवल सत्यापित खाता मालिकों को एसएसएल प्रमाणपत्र जारी करते हैं। तथापि…

कुछ 1200 सीए मौजूद हैं जो उन डोमेन के लिए प्रमाण पत्र पर हस्ताक्षर कर सकते हैं जो लगभग किसी भी ब्राउज़र द्वारा स्वीकार किए जाएंगे। हालाँकि, CA बनने में कई औपचारिकताओं का सामना करना पड़ता है (न केवल कोई भी खुद को CA के रूप में स्थापित कर सकता है!), वे सरकारों द्वारा (और सबसे बड़ी समस्या) पर झुके हुए हो सकते हैं, बदमाशों द्वारा धमकाया जा सकता है, या अपराधियों द्वारा हैक किया जा सकता है कि गलत जारी करें प्रमाण पत्र.

इस का मतलब है कि:

  1. सैकड़ों प्रमाणपत्र प्राधिकारियों के साथ, यह पूरी प्रणाली से समझौता करने के लिए सिर्फ एक ’खराब अंडा’ जारी करने के लिए डोडी प्रमाणपत्र जारी करता है
  2. एक बार एक प्रमाणपत्र जारी किया जाता है, ब्राउज़र के पूर्ण अद्यतन को जारी करने के लिए ब्राउज़र निर्माता को छोड़कर उस प्रमाण पत्र को रद्द करने का कोई तरीका नहीं है.

यदि आपका ब्राउज़र किसी अनुबंधित वेबसाइट पर जाता है और उसे मान्य HTTPS प्रमाणपत्र जैसा दिखता है, तो उसे प्रस्तुत किया जाएगा, जो यह समझता है कि यह एक सुरक्षित कनेक्शन है, और URL में एक पैडलॉक प्रदर्शित करेगा।.

डरावनी बात यह है कि आपके ब्राउज़र को कनेक्शन स्वीकार करने के लिए केवल 1200+ सीए में से किसी एक से समझौता करने की आवश्यकता है। जैसा कि यह EFF लेख देखता है,

संक्षेप में: आजकल HTTPS / TLS / SSL को तोड़ने के बहुत से तरीके हैं, जब वेबसाइटें सबकुछ सही करती हैं। जैसा कि वर्तमान में लागू किया गया है, वेब के सुरक्षा प्रोटोकॉल सीमित समय और प्रेरणा के साथ हमलावरों से बचाने के लिए काफी अच्छे हो सकते हैं, लेकिन वे एक ऐसी दुनिया के लिए अपर्याप्त हैं जिसमें कंप्यूटर सिस्टम की सुरक्षा के खिलाफ हमलों के माध्यम से भू-राजनीतिक और व्यापारिक प्रतियोगिताएं तेजी से खेली जा रही हैं।.

पीटर एकर्सली

दुर्भाग्य से, यह समस्या सैद्धांतिक से बहुत दूर है। समान रूप से दुर्भाग्य से, आम तौर पर मान्यता प्राप्त समाधान नहीं हैं, हालांकि ईवीएस के साथ, सार्वजनिक कुंजी पिनिंग को समस्या से निपटने के प्रयास में अधिकांश आधुनिक वेबसाइटों द्वारा नियोजित किया जाता है।.

सार्वजनिक कुंजी पिन करने के साथ ब्राउज़र एक वेबसाइट होस्ट को उनके अपेक्षित HTTPS प्रमाणपत्र या सार्वजनिक कुंजी के साथ जोड़ देता है (यह एसोसिएशन होस्ट के लिए 'पिनडाउन' है), और यदि एक अप्रत्याशित प्रमाण पत्र या कुंजी के साथ प्रस्तुत किया गया है तो कनेक्शन को स्वीकार करने और आपको जारी करने से मना कर देगा। चेतावनी.

इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन (ईएफएफ) ने इंटरनेट को सुरक्षित करने के लिए उपयोग किए जाने वाले सभी प्रमाणपत्रों की जांच करने के उद्देश्य से एक एसएसएल ऑब्जर्वेटरी परियोजना भी शुरू की, जनता को विश्लेषण के लिए प्रमाण पत्र भेजने के लिए आमंत्रित किया। जहाँ तक मुझे जानकारी है, हालाँकि, यह परियोजना वास्तव में कभी बंद नहीं हुई और वर्षों से सुप्त है.

यातायात विश्लेषण

शोधकर्ताओं ने दिखाया है कि 89 सटीकता के साथ HTTPS-सुरक्षित वेबसाइटों पर एक लक्ष्य द्वारा दौरा किए गए व्यक्तिगत वेब पेजों की पहचान करने के लिए HTTPS कनेक्शन पर ट्रैफ़िक विश्लेषण का उपयोग किया जा सकता है.

हालांकि चिंता की बात यह है कि इस तरह का कोई भी विश्लेषण एक विशिष्ट पीड़ित के खिलाफ अत्यधिक लक्षित हमले का गठन करेगा.

HTTPS निष्कर्ष

हालांकि सही नहीं है (लेकिन क्या है?), HTTPS वेबसाइटों के लिए एक अच्छा सुरक्षा उपाय है। यदि ऐसा नहीं होता, तो इंटरनेट पर हर दिन होने वाले अरबों के वित्तीय लेन-देन और निजी डेटा के हस्तांतरण में से कोई भी संभव नहीं होगा, और इंटरनेट स्वयं (और संभवतः विश्व अर्थव्यवस्था!) रातोंरात ध्वस्त हो जाएगा।.

HTTPS कार्यान्वयन तेजी से वेबसाइटों पर मानक बन रहा है, दोनों के लिए और गोपनीयता के लिए बहुत अच्छा है (क्योंकि यह NSA और इसके ilk के काम को बहुत कठिन बना देता है!).

याद रखने वाली मुख्य बात यह है कि हमेशा बंद पैडलॉक आइकॉन के लिए कुछ भी जांचना चाहिए जो इंटरनेट पर सुरक्षा या गोपनीयता की आवश्यकता है। यदि आप एक असुरक्षित इंटरनेट कनेक्शन (जैसे सार्वजनिक वाईफाई हॉटस्पॉट) का उपयोग कर रहे हैं, तब भी आप वेब पर सुरक्षित रूप से सर्फ कर सकते हैं जब तक आप केवल HTTPS एन्क्रिप्टेड वेबसाइटों पर जाते हैं।.

यदि किसी कारण से आप किसी वेबसाइट के बारे में चिंतित हैं, तो आप इसका एसएसएल प्रमाण पत्र देख सकते हैं कि क्या यह उस मालिक का है जिसे आप उस वेबसाइट से उम्मीद करेंगे.

TL यह है कि HTTPS की बदौलत आप सुरक्षित और निजी रूप से वेबसाइटों को सर्फ कर सकते हैं, जो आपकी मानसिक शांति के लिए बहुत अच्छा है!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me