SSL / TLS Certificate क्या है? कैसे काम करता है?

आज के समय में अगर आप किसी वेबसाइट पर विजिट करते हैं। या आप किसी वेबसाइट या ब्लॉग के मालिक हैं , तो आपको SSL Certificate के बारे में पता होना चाहिए।

SSL Certificate क्या है ?

SSL Certificate वे हैं जो वेबसाइटों को HTTP से HTTPS तक ले जाने में सक्षम हैं, जो अधिक सुरक्षित है। SSL सर्टिफिकेट एक वेबसाइट के मूल सर्वर में होस्ट की गई डेटा फ़ाइल है। SSL Certificate SSL/TLS encryption को संभव बनाते हैं।

इस Certificate में encryption संबंधित जानकारी के साथ website’s public key और website’s identity होती है।

मूल सर्वर के साथ कम्यूनिकेट करने का प्रयास करने वाले डिवाइस public key प्राप्त करने और सर्वर की पहचान को वेरीफाई करने के लिए इस फ़ाइल को प्रयोग करेंगे। private key को गुप्त और सुरक्षित रखा जाता है।

तो यहाँ हमने बताया की SSL Certificate क्या होता है। लेकिन अब इसको थोड़ी आसान भाषा में समझते हैं।

SSL केवल उन्हीं वेबसाइटों द्वारा कार्यान्वित किया जा सकता है जिनके पास SSL certificate (तकनीकी रूप से एक “TLS certificate”) है।

एक SSL certificate एक आईडी कार्ड या आइकॉन की तरह होता है जो किसी को साबित करता है कि वे कौन हैं। SSL certificate वेब पर या वेबसाइट के अनुप्रयोग सर्वर द्वारा संग्रहीत और प्रदर्शित किए जाते हैं।

SSLसर्टिफिकेट में सबसे महत्वपूर्ण जानकारी में से एक वेबसाइट की public key है। public key एन्क्रिप्शन को संभव बनाती है।

उपयोगकर्ता की डिवाइस public key को देखती है और वेब सर्वर के साथ सुरक्षित एन्क्रिप्शन कुंजी स्थापित करने के लिए इसका उपयोग करती है।

इस बीच वेब सर्वर में एक private key भी होती है जिसे गुप्त रखा जाता है। private key डाटा को डिक्रिप्ट करता है और पब्लिक की के साथ डेटा एन्क्रिप्टेड होता है ।

इस certificates जारी करने के लिए Certificate authorities (CA) जिम्मेदार हैं।

SSL की परिभाषा ?

SSL: Secure Sockets Layer एसएसएल, या सिक्योर सॉकेट लेयर, एक एन्क्रिप्शन-आधारित इंटरनेट सुरक्षा प्रोटोकॉल है। यह नेटस्केप द्वारा 1995 में Internet communications में गोपनीयता, प्रमाणीकरण और data integrity सुनिश्चित करने के उद्देश्य से विकसित किया गया था।

एसएसएल आज उपयोग किए जाने वाले आधुनिक टीएलएस एन्क्रिप्शन का पूर्ववर्ती है।

एसएसएल, जिसे आमतौर पर टीएलएस कहा जाता है। ये इंटरनेट ट्रैफ़िक को एन्क्रिप्ट करने और सर्वर पहचान की पुष्टि करने का एक प्रोटोकॉल है। HTTPS वेब एड्रेस वाली कोई भी वेबसाइट SSL / TLS का उपयोग करती है।

एसएसएल/टीएलएस कैसे काम करता है?

एसएसएल / टीएलएस दो बिंदुओं के बीच सूचना को एन्क्रिप्ट करने के लिए उपयोग किए जाने वाले प्रोटोकॉल हैं। यह आमतौर पर सर्वर और क्लाइंट के बीच होता है, लेकिन कई बार सर्वर से सर्वर और क्लाइंट से क्लाइंट एन्क्रिप्शन की आवश्यकता होती है।

सर्वर और क्लाइंट Negotiation
एसएसएल/टीएलएस Negotiation होने के लिए, system administrator को न्यूनतम 2 फाइलें तैयार करनी चाहिए: Private Key और Certificate। सर्टिफिकेट अथॉरिटी से अनुरोध करते समय, एक अतिरिक्त फाइल बनाई जानी चाहिए। इस फ़ाइल को Certificate Signing Request कहा जाता है। फ़ाइलों को उत्पन्न करने की प्रक्रिया उस सॉफ़्टवेयर पर निर्भर करती है जो एन्क्रिप्शन के लिए फ़ाइलों का उपयोग करेगा।

एक बार जब फाइलें तैयार हो जाती हैं और सही ढंग से इंस्टाल हो जाती हैं, तो सुरक्षित प्रोटोकॉल का उपयोग करके बस एसएसएल / टीएलएस negotiation शुरू हो जाती है ।

SSL / TLS कैसे काम करता है?

• उच्च गोपनीयता प्रदान करने के लिए, SSL उन डेटा को एन्क्रिप्ट करता है। जो पूरे वेब पर प्रसारित होता है। इसका मतलब है कि जो कोई भी इस डेटा को इंटरसेप्ट करने की कोशिश करेगा, उसे केवल कैरेक्टर्स का एक विकृत मिश्रण दिखाई देगा, जिसे डिक्रिप्ट करना लगभग असंभव है।
• एसएसएल एक authentication process शुरू करता है जिसे दो संचार उपकरणों के बीच एक हैंडशेक कहा जाता है। ताकि यह सुनिश्चित हो सके कि दोनों डिवाइस वास्तव में वे हैं जो वे होने का दावा करते हैं।
• SSL भी डेटा अखंडता प्रदान करने के लिए डेटा पर हस्ताक्षर करता है। यह सत्यापित करते हुए कि डेटा अपने इच्छित प्राप्तकर्ता तक पहुंचने से पहले छेड़छाड़ नहीं करता है।
• एसएसएल के कई बदलाव हुए हैं, जिनमें से प्रत्येक अंतिम पहले से अधिक सुरक्षित है। 1999 में SSL को TLS बनने के लिए अपडेट किया गया था

SSL / TLS क्यों महत्वपूर्ण है?

मूल रूप से, वेब पर डेटा को प्लेनटेक्स्ट में प्रेषित किया गया था, अगर कोई भी संदेश पढ़ सकता है तो वे संदेश को रोक सकते हैं।

उदाहरण के लिए, यदि कोई उपभोक्ता किसी शॉपिंग वेबसाइट पर जाता है, तो उसने एक ऑर्डर दिया है।

यूजर ने वेबसाइट पर अपना क्रेडिट कार्ड नंबर दर्ज किया है, तो क्रेडिट कार्ड नंबर बिना इंटरनेट के ;ट्रेवल करेगा।

SSL इस समस्या को ठीक करने और उपयोगकर्ता गोपनीयता की सुरक्षा के लिए बनाया गया था।

एक उपयोगकर्ता और एक वेब सर्वर के बीच जाने वाले किसी भी डेटा को एन्क्रिप्ट करके, एसएसएल सुनिश्चित करता है कि डेटा क एन्क्रिप्ट कर दिया गया है।

अब अगर बीच में कोई इस डाटा को देखने की कोशिश या रीड करेगा तो वह केवल scrambled mess of characters देख सकता है। उपभोक्ता का क्रेडिट कार्ड नंबर अब सुरक्षित है, केवल उस खरीदारी वेबसाइट पर दिखाई देता है जहां उन्होंने इसे दर्ज किया था।

एसएसएल कुछ प्रकार के साइबर हमलों को भी रोकता है: यह वेब सर्वरों को प्रमाणित करता है, जो महत्वपूर्ण है क्योंकि हमलावर अक्सर उपयोगकर्ताओं को धोखा देने और डेटा चोरी करने के लिए नकली वेबसाइटों को स्थापित करने का प्रयास करेंगे।

यह हैकर्स को पारगमन में डेटा के साथ छेड़छाड़ करने से भी रोकता है .

क्या SSL और TLS एक ही चीज हैं?

SSL एक अन्य प्रोटोकॉल का प्रत्यक्ष पूर्ववर्ती है जिसे TLS (ट्रांसपोर्ट लेयर सिक्योरिटी) कहा जाता है।

1999 में इंटरनेट इंजीनियरिंग टास्क फोर्स (IETF) ने एसएसएल को एक अपडेट का प्रस्ताव दिया।

चूंकि यह अपडेट IETF द्वारा विकसित किया जा रहा था और नेटस्केप अब शामिल नहीं था।

इसलिए इसका नाम बदलकर TLS कर दिया गया।

एसएसएल के अंतिम संस्करण (3.0) और टीएलएस के पहले संस्करण के बीच अंतर कठोर नहीं हैं; नाम परिवर्तन स्वामित्व में परिवर्तन को दर्शाने के लिए लागू किया गया था।

चूंकि वे इतने निकट से संबंधित हैं, इसलिए दो शब्दों को अक्सर परस्पर विनिमय और भ्रमित किया जाता है।

कुछ लोग अभी भी एसएसएल का उपयोग टीएलएस को संदर्भित करने के लिए करते हैं, अन्य लोग “एसएसएल / टीएलएस एन्क्रिप्शन” शब्द का उपयोग करते हैं क्योंकि एसएसएल में अभी भी बहुत नाम मान्यता है।

क्या एसएसएल अभी तक बना हुआ है?

SSL 1996 में SSL 3.0 के बाद से अपडेट नहीं किया गया है और अब इसे पदावनत माना जाता है। एसएसएल प्रोटोकॉल में कई ज्ञात कमजोरियां हैं, और सुरक्षा विशेषज्ञ इसका उपयोग बंद करने की सलाह देते हैं।

वास्तव में, अधिकांश आधुनिक वेब ब्राउज़र अब एसएसएल का समर्थन नहीं करते हैं।

टीएलएस अप-टू-डेट एन्क्रिप्शन प्रोटोकॉल है जिसे अभी भी ऑनलाइन लागू किया जा रहा है, हालांकि कई लोग अभी भी इसे “एसएसएल एन्क्रिप्शन” के रूप में रेफ़्रेन्स करते हैं।

यह सुरक्षा समाधान के लिए खरीदारी करने वाले किसी व्यक्ति के लिए भ्रम का स्रोत हो सकता है।

सच्चाई यह है कि इन दिनों “एसएसएल” की पेशकश करने वाला कोई भी वेंडर लगभग निश्चित रूप से टीएलएस सुरक्षा प्रदान कर रहा है।

जो 21 वर्षों से एक industry standard है। लेकिन चूंकि कई लोग अभी भी “एसएसएल सुरक्षा” के लिए खोज कर रहे हैं, यह शब्द अभी भी कई प्रोडक्ट पेज पर प्रमुखता से चित्रित किया गया है।

आइये अब जानते हैं, आखिर SSL वेबसाइट में होता क्या है? क्यों इसको इतना सुरक्षित मानते हैं।

SSL सर्टिफिकेट में क्या जानकारी होती है?

SSL सर्टिफिकेट में शामिल हैं:

• जिस डोमेन नाम के लिएसर्टिफिकेट जारी किया गया था
• यह किस व्यक्ति, संगठन या डिवाइस को जारी किया गया था
• किस सर्टिफिकेट अथॉरिटी ने इसे जारी किया
• प्रमाणपत्र प्राधिकारी का डिजिटल हस्ताक्षर
• सम्बंधित सब – डोमेन
• सर्टिफिकेट जारी करने की तारीख
• सर्टिफिकेट की समाप्ति तिथि
• public key (private key गुप्त रखी जाती है)

SSL के लिए उपयोग की जाने वाली public key और private key अनिवार्य रूप से डेटा को एन्क्रिप्ट और डिक्रिप्ट करने के लिए उपयोग किए जाने वाले long strings of characters हैं।

public key के साथ एन्क्रिप्ट किया गया डेटा केवल private key के साथ डिक्रिप्ट किया जा सकता है।

वेबसाइटों को SSL Certificate की आवश्यकता क्यों है?

उपयोगकर्ता के डेटा को सुरक्षित रखने, वेबसाइट के स्वामित्व को सत्यापित करने, हमलावरों को साइट का नकली संस्करण बनाने से रोकने और उपयोगकर्ता का विश्वास हासिल करने के लिए वेबसाइट को एक SSL Certificate की आवश्यकता होती है।

एन्क्रिप्शन: SSL / TLS एन्क्रिप्शन public-private key pairing के कारण संभव है जो SSL certificate की सुविधा देता है।

ग्राहक (जैसे वेब ब्राउज़र) सर्वर के SSL certificate से टीएलएस कनेक्शन खोलने के लिए आवश्यक public key प्राप्त करते हैं।

HTTPS: व्यवसायों के लिए सबसे महत्वपूर्ण बात, HTTPS वेब पते के लिए एक SSL certificate आवश्यक है।

HTTPS HTTP का सुरक्षित रूप है, और HTTPS वेबसाइटें ऐसी वेबसाइटें हैं जिनका एसएसएल / टीएलएस द्वारा एन्क्रिप्ट किया गया ट्रैफिक है।

इसके अलावा, HTTPS साइटों को उपयोगकर्ता के दृष्टिकोण से अधिक भरोसेमंद बनाता है।

कई उपयोगकर्ता http: // और https: // वेब पते के बीच अंतर को नोटिस नहीं करेंगे, लेकिन अधिकांश ब्राउज़रों ने एचटीटीपीएस और स्विचिंग के लिए प्रोत्साहन प्रदान करने का प्रयास करते हुए, HTTP साइटों को “अधिक सुरक्षित नहीं” के रूप में टैग करना शुरू कर दिया है।

वेबसाइट SSL certificate कैसे प्राप्त करती है?

SSL certificate मान्य होने के लिए, डोमेन को certificate authority (CA) से इसे प्राप्त करना होगा। CA एक बाहरी संगठन है, एक विश्वसनीय तृतीय पक्ष है, जो SSL certificates बनाता है और देता है।

CA अपने private key के साथ प्रमाणपत्र को डिजिटल रूप से भी हस्ताक्षरित करेगा, जिससे क्लाइंट डिवाइस इसे सत्यापित कर सकेंगे। अधिकांश, लेकिन सभी नहीं, CAs एक SSL certificate जारी करने के लिए शुल्क लेंगे।

सर्टिफिकेट जारी होने के बाद, इसे वेबसाइट के मूल सर्वर पर स्थापित और सक्रिय करना होगा। वेब होस्टिंग सेवाएं आमतौर पर वेबसाइट ऑपरेटरों के लिए इसे संभाल सकती हैं।

एक बार जब यह मूल सर्वर पर सक्रिय हो जाता है, तो वेबसाइट HTTPS और सभी ट्रैफ़िक को लोड करने में सक्षम हो जाएगी और वेबसाइट पर और इससे ट्रैफ़िक एन्क्रिप्ट और सुरक्षित हो जाएगा।

एक self-signed SSL certificate क्या है?

तकनीकी रूप से, कोई भी public-private key pairing तैयार करके और ऊपर उल्लिखित सभी जानकारी सहित अपना स्वयं का SSL certificate बना सकता है।

इस तरह के सर्टिफिकेट्स को self-signed certificates कहा जाता है, क्योंकि डिजिटल हस्ताक्षर का उपयोग CA से होने के बजाय, वेबसाइट की अपनी private key होगी।

लेकिन self-signed certificates के साथ, यह पुष्टि करने के लिए कोई बाहरी अथॉरिटी नहीं है कि मूल सर्वर वह है जो यह होने का दावा करता है।

ब्राउज़र self-signed certificates को विश्वसनीय नहीं मानते हैं और फिर भी https: // URL के बावजूद “सुरक्षित नहीं” के रूप में साइटों को चिह्नित कर सकते हैं।

वे पूरी तरह से कनेक्शन को समाप्त भी कर सकते हैं, वेबसाइट को लोड करने से रोक सकते हैं।

SSL certificates कितने प्रकार के होते हैं?

SSL certificates कई प्रकार के होते हैं। एक प्रमाण पत्र एक वेबसाइट या कई वेबसाइटों पर लागू हो सकता है, जो इस प्रकार पर निर्भर करता है:

Single-domain: एक Single-domain एसएसएल प्रमाणपत्र केवल एक ही डोमेन पर लागू होता है (“डोमेन” एक वेबसाइट का नाम है, जैसे www.cloudflare.com)।

Wildcard: एकल-डोमेन प्रमाणपत्र की तरह, वाइल्डकार्ड SSL प्रमाणपत्र केवल एक डोमेन पर लागू होता है। हालाँकि, इसमें डोमेन के उप-डोमेन भी शामिल हैं।

उदाहरण के लिए, एक वाइल्डकार्ड प्रमाणपत्र www.cloudflare.com, blog.cloudflare.com, और Developers.cloudflare.com को कवर कर सकता है, जबकि एक एकल-डोमेन प्रमाणपत्र केवल पहले कवर कर सकता है।

मल्टी-डोमेन: जैसा कि नाम से संकेत मिलता है, मल्टी-डोमेन एसएसएल सर्टिफिकेट कई असंबंधित डोमेन पर लागू हो सकता है।

SSL प्रमाणपत्र भी विभिन्न सत्यापन स्तरों के साथ आते हैं। एक सत्यापन स्तर एक पृष्ठभूमि की जाँच की तरह है, और स्तर पूरी तरह से जाँच के आधार पर बदलता है।

डोमेन वैलिडेशन: यह सत्यापन का सबसे कम-कठोर स्तर है, और सबसे सस्ता है। सभी व्यवसाय को यह साबित करना होगा कि वे डोमेन को नियंत्रित करते हैं।

ऑर्गनाइजेशन वैलिडेशन: यह एक अधिक हैंड्स-ऑन प्रक्रिया है: CA सीधे प्रमाण पत्र का अनुरोध करने वाले व्यक्ति या व्यवसाय से संपर्क करता है। ये प्रमाणपत्र उपयोगकर्ताओं के लिए अधिक भरोसेमंद हैं।

Extended Validation: SSL certificate जारी किए जाने से पहले किसी संगठन की पूर्ण पृष्ठभूमि की जांच की आवश्यकता होती है।

SSL / TLS Certificate से जुड़े प्रश्न

इस पोस्ट को पढ़ने के बाद अगर आप SSL Certificate खरीदने की सोच रहे हैं। तो आपका निर्णय सही है। इसका मैं स्वागत करता हूँ। यहाँ मैंने SSL Certificate के प्रकार, एसएसएल सर्टिफिकेट कहाँ से खरीदें इसकी जानकारी दी है।

SSL / TLS Certificate की अन्य जानकारी के लिए कमेंट करें। साथ ही पोस्ट को शेयर करें। ताकि दूसरों तक ये जानकारी पहुँच सके।